[주말판] 공격자들의 관심사가 되고 있는 맥, 보안의 측면에서 보기

2021-10-09 12:03
  • 카카오톡
  • 네이버 블로그
  • url
애플의 장비들은 한 결같이 높은 인기를 구가한다. 그리고 그 인기가 드디어 개인 소비 시장을 넘어 기업 환경에까지 침투하기 시작했다. 기다렸다는 듯이 해커들도 움직이기 시작했고, 이는 보안 담당자들에게 새로운 숙제가 되고 있다.

[보안뉴스 문가용 기자] 맥 컴퓨터는 소비자들이 가장 가지고 싶어 하는 장비 중 하나였지만 여러 가지 제약 사항이 있어 업무용으로 고려되는 경우는 그리 흔치 않았다. 그러나 그것도 이미 옛말. 최근 몇 년 동안 맥은 꾸준히 사무 공간으로 치고 들어왔고 수많은 엔지니어와 개발자들, 심지어 임원들까지도 맥을 책상에 올려놓고 사용하고 있다. 그에 따라 전통적으로 해커들에게 무시되는 편이었던 맥이 뜨거운 관심사가 되고 있으며, 애플도 이를 인지하고 주기적으로 패치를 발표하는 중이다. 사용자 기업 측에서는 맥을 보호하기 위해 어떤 추가 조치를 취할 수 있을까?


[이미지 = utoimage]

보안 업체 오브젝티브시(Objective-See)의 창립자이자 ‘맥 멀웨어의 기술 : 악성 소프트웨어 분석 가이드(The Art of Mac Malware : The Guide to Analyzing Malicious Software)’의 저자인 패트릭 워들(Patrick Wardle)은 “업무 환경에서 맥 컴퓨터의 사용량이 크게 늘고 있는 건 분명한 사실”이라며 “윈도 시스템만 사용하던 기업들이 맥OS로 전환하는 사례가 계속해서 많아질 추세”라고 설명한다.

“기업들 사이에서 맥의 보안에 대한 고민이 아주 없었던 건 아닙니다. 하지만 윈도에 비해서는 극히 작았죠. 실제로 신경 쓸 이유가 많지 않기도 했습니다. 그러나 사용자가 점점 늘어나고, 해커들이 관심도 많아졌습니다. 신경 쓸 이유가 생기기 시작한 것이죠. 사실 기업 환경에서 사용자가 늘어나는 모든 소프트웨어나 하드웨어들이 이러한 순서로 보안이 강화됩니다. 사용자가 증가하고, 그에 따라 해커들이 증가하고, 그러면서 보안이 뒤늦게 따라오는 식이죠.”

보안 업체 트렌드 마이크로(Trend Micro)의 부회장인 존 클레이(Jon Clay) 역시 “최근 보안 업계에서 맥에 대한 관심이 높아지고 있다”며 “취약점 연구는 유행을 많이 타는 분야인데, 최근 들어오는 취약점 제보를 보면 맥이라는 플랫폼의 인기가 심상치 않게 높아지고 있다는 걸 알 수 있다”고 설명한다. “이렇게 보안 연구자들이 쏟아져 들어오기 시작하면 버그고 취약점이고 더 많이 발견되고, 이것이 또 공격자들에게도 관심사가 됩니다. 서로가 서로에게 물고 물리는 관계가 되는 것입니다.”

세상에 완벽한 OS란 존재하지 않고, 맥OS 역시 마찬가지다. 현재까지 나왔던 수많은 OS들처럼 맥OS에서도 점점 더 많은 취약점들이 나오고 있다. 클레이는 “이것을 사용자들도 알아야 한다”고 강조한다. “취약점이 있다는 걸 해커들과 보안 전문가들끼리만 알아서는 안 됩니다. 이 소문이 점점 더 퍼져서 사용자들도 맥OS를 무조건 신뢰하는 습관을 버리는 쪽으로 분위기가 흘러가야 합니다. 하지만 지금 맥 사용자들은 ‘윈도보다 훨씬 안전한 시스템’이라고 믿고 있는 게 대부분이죠.”

워들은 “90년대 후반과 2000년대 초반 윈도 시스템들은 세계 여기 저기서 온갖 바이러스와 웜의 공격을 받았다”고 설명한다. “윈도 서비스들 중 일부가 인터넷에 노출된 경우가 많았기 때문에 생기는 현상이었습니다. 원격에서 접속해 공략하는 게 그리 어려운 일이 아니었습니다. 당시에도 맥 컴퓨터들은 존재했습니다만 수량의 측면에서 현저하게 적었기 때문에 해커들의 관심을 끌지 못했습니다. 게다가 윈도와 비교해 폐쇄된 환경이었기 때문에 인터넷에 연결된 프로토콜이나 서비스의 수가 적기도 했고요.”

워들은 “윈도 컴퓨터는 큰 도시의 험악한 동네에 세워진 집이고, 맥OS 컴퓨터는 시골 한적한 곳에 세워진 오두막”이라고 설명한다. “시간이 지나면서 윈도는 험악한 동네에서 살아남기 위해 여러 가지 안전장치를 구비해두기 시작했고, 집은 점점 무장이 되었습니다. 경비도 세워두고 범인을 잡는 사람에게 현상금도 주기 시작했고요. 하지만 애플은 워낙 한적한 동네에 있다 보니까 그렇게 할 필요가 없었습니다. 주변에 지나가는 사람조차 얼마 없었으니까 늘 평화로웠죠. 하지만 그 동네에 갑자기 사람들이 몰리고 토지가 개발되기 시작했어요. 분위기가 완전히 달라졌죠. 그런데도 맥 사용자들은 집안에서 ‘우리 집은 늘 평화로웠고 앞으로도 그럴 거야’라고 생각하고 있는 겁니다.”

평화롭고 안전하다고 믿는다는 건 보안에 있어 그리 좋은 ‘멘탈리티’가 아니다. 이런 믿음이 강하면 잘못된 링크를 클릭하고 잘못된 파일을 열 확률이 높아지기 때문이다. 워들은 “맥 사용자들도 이제 링크와 파일을 수상쩍하게 생각하고 확인 후 열어보는 습관을 길러야 한다”고 강조한다. “취약점은 점점 더 많아지고, 패치도 점점 더 자주 나오는 게 맥 환경의 현실입니다. 국가 지원 해커들도 맥OS에 대한 연구를 꾸준히 이어가고 있고요.”

사이버 범죄자들의 수준
워들은 “지금으로부터 불과 5년 전만 해도 맥 멀웨어는 따분할 정도로 단순했다”고 말한다. 지금은 윈도와 리눅스 환경에서 나타나는 각종 바이러스와 고급 멀웨어들이 맥용으로 포팅되어 나타나고 있다고 한다. “애드웨어, 범죄 도구, 백도어도 있고, 북한의 APT인 라자루스(Lazarus)가 활용하는 임플란트까지 출현하고 있는 상황입니다. 고급화 되고 있는 것이 확실하며 보안 전문가들의 관심을 끌기에도 충분합니다. 심지어 제로데이 취약점과 공격도 나타나고 있을 정도니까요. 이제 막 연구되기 시작한 생태계라 앞으로 제로데이가 쏟아질 거라고 예측합니다.”

최근 맥OS 빅서 11.3에서는 CVE-2021-30657이라는 취약점이 발견된 바 있다. 공격자들이 먼저 발견해 활용하고 있던, 제로데이 취약점이었다. 게이트키퍼(Gatekeeper), 파일 쿼런틴(File Quarantine), 애플리케이션 노터라이제이션(Application Notarization) 모두 이 취약점을 통해 심겨진 파일을 파악하지 못했다. 그리고 공격자들은 쉴레이어(Shlayer)라는 멀웨어를 여러 맥OS에 심어 표적들을 공격했다.

이 제로데이가 발견된 시점에 마이크로 트렌드는 또 다른 맥OS용 멀웨어인 엑셋(XCSSET)을 발견하기도 했다. 맥OS 11과 M1 칩셋을 기반으로 한 장비들을 겨냥한 멀웨어였다. “금전적으로도 모자랄 것이 없고, 공격 실행 동기도 충분한 자들이 맥OS 환경에 들어오고 있다는 게 지금 보안 업계가 가진 문제입니다. 그렇기 때문에 맥OS 환경에 출현하는 멀웨어들이 더 뛰어난 기능을 가지게 될 확률은 상당히 높습니다.”

물론 지금 당장은 윈도 생태계에 출현하는 멀웨어들이 비교가 안 될 정도로 고차원적이다. 워들은 “멀웨어 개발자들이 맥 환경을 연구해온 시간이 부족하기 때문”이라고 설명한다. “멀웨어를 복잡하고 고차원적으로 작성할 줄 안다는 건 OS에 대한 깊이 있는 지식과 경험이 있다는 뜻입니다. 아직 방어자로서 우리에게 시간이 좀 있다는 뜻이기도 하지만, 결국 공격자들의 거센 공격이 이어지는 건 시간문제일 따름이라는 뜻도 되지요.”

그런데 OS에 대한 경험이 부족하다는 건 보안 업체들도 마찬가지다. 맥OS 환경의 공격이 드무니 그 방면으로 보안 지식을 키워갈 이유가 없었던 것이다. 공격자들이 조금만 맥OS용 멀웨어의 수준을 높여도 현존하는 방어 체제로서는 금방 뚫릴 수 있다는 게 심각한 문제다. 워들은 “그래서 우리에게 주어진 시간은 매우 짧다고 봐야 한다”고 주장한다.

애플의 대응 : 맥 보안의 현 주소
이런 모든 상황을 맥OS의 개발사인 애플이 모를 리가 없다. 보안 업체 멀웨어바이츠(Malwarebytes)의 개발자인 티 스튜던트(T. Student)는 “맥OS 10.15부터 애플은 보안을 진지하게 받아들이기 시작했다”고 설명한다. “10.15 이전 애플은 보안 기능을 거의 아무 것도 주지 않았다고 봐도 무방합니다. 가시성 확보를 할 수 있는 도구 정도가 다였죠. 하지만 10.15 버전부터 네트워크 엑스텐션(Network Extensions)이라는 기능이 도입됐습니다. 원래 iOS에 있던 기능이죠. 거기다가 엔드포인트 시큐리티(Endpoint Security)라는 것도 추가했고요. 꽤나 잘 설계된 보안 프레임워크였습니다.”

그리고 결국 등장한 것인 M1이라는 애플의 자체 제작 프로세서다. 스튜던트는 M1이 빠르고 전력 효율도 좋은 프로세서이지만 사실 보안이 강력한 칩셋이라고 설명한다. “맥OS 11에서부터 새롭고 강력한 보안 기능들이 도입됐습니다. 그런데 그 기능들 대부분 M1을 기반으로 하고 있죠. 애플이 보안을 진지한 과제로 받아들였다는 것이 눈에 보입니다. 게다가 서드파트 소프트웨어에 대한 정책도 대폭 바꿨죠. 이 역시 애플의 바뀐 태도를 보여줍니다.”

워들은 애플의 코드 서명 프레임워크와 OS 기능이라는 측면에서 커다란 향상이 있었다는 의견이다. “윈도 환경의 경우 수십 년이 넘은 ‘레거시’ 요소들에서부터 취약점이 나오고 사고가 터지는 경우가 빈번하죠. MS가 레거시 요소들을 폐지시키거나 새로운 것으로 대체하는 걸 은근히 꺼리기 때문입니다. 하지만 애플은 언제부턴가 그런 방면에서 과감해졌어요. 불필요한 건 빠르게 폐지시키고 새것으로 대체합니다. 보안 때문에 그런 것만은 아니더라도요.”

워들은 그 “보안 때문만은 아니”라는 점이 중요하다고 지적한다. “애플이 보안을 강화하는 이유는 순수하게 자신들의 제품을 안전하게 지키기 위해서이기도 합니다. 하지만 보안을 강화하면서 자신들의 시스템에 대한 제어 권한도 상당히 가져가고 있기도 합니다. 애플은 자신들이 만든 시스템에 뭐가 설치되고 뭐가 돌아가는지를 빡빡하게 관리하고 싶어 합니다. 그게 보안에 도움이 될 때도 분명히 있지만 부작용이 없는 건 아닙니다. 이 부분은 IT 업계와 시민 단체들이 계속해서 지켜봐야합니다.”

그런 애플에 더 필요한 건 다른 무엇보다 서드파티와의 관계 개선이다. “애플은 서드파티 소프트웨어 업체들 및 보안 업체들과 소통이 원활하지 않은 것으로 악명이 높죠. 취약점 제보에 대한 대가도 오랜 기간 낮은 편이었고요. 오죽하면 보안 전문가들이 애플에서 취약점을 찾아 다른 회사들에 판매했죠. 그게 더 대가가 좋으니까요. 애플이라는 회사 자체를 좋아하는 개발자나 보안 전문가들이 아직 그리 많지 않은 게 지금의 솔직한 상황입니다. 그런 상황에서 적극적인 보안 커뮤니티의 협조를 기대하기는 힘들죠.”

스튜던트는 패트릭의 이러한 말에 일정 부분 동의한다. “하지만 바꾸기가 쉽지 않을 겁니다. 내부에서부터 문화적인 변화가 있어야 할 겁니다. 애플은 생태계도 그렇지만 기업 문화 자체가 폐쇄적이거든요. 외부 연구원들의 보고서들이 무시되는 경향도 강하고요. 취약점 패치를 발표하지 않고 은밀히 진행하는 경우도 상당히 많습니다. 이른 불투명성은 최근 보안 업계의 흐름을 전혀 반영하지 못하고 있는 특성입니다.”

맥을 구매하려 한다면, 보안 팀이 알아야 할 것이 무엇인가?
이런 상황에서 회사 운영진들이 맥 컴퓨터를 대량으로 도입한다고 하면 보안 전문가들은 난감할 수 있다. 클레이의 설명처럼 “공격자들도 맥 환경에 미숙하지만 보안 담당자들도 미숙하기 때문”이다. “윈도 보안 도구는 사용도 많이 해봤고, 뭐가 있는지도 어느 정도 알고, 시장 분위기에도 익숙하죠. 그 낯설다는 것 하나만 해도 보안 담당자의 자신감을 크게 떨어트릴 수 있습니다.”

워들은 “맥이나 윈도나 같은 마음과 자세로 대하는 게 중요하다”고 강조한다. “맥OS 시스템에 대한 보안 정책도 동일하게 가져가고, 수상한 링크를 누르지 않거나 파일을 열지 않도록 하는 교육도 동일하게 진행해야 합니다. 굳이 맥OS에 대한 기술적 이해도가 깊지 않아도 되는 것부터 시작해서 보안 체계를 수립하면 마음도 안정될 겁니다.”

그 다음에는 엔드포인트 보안 에이전트를 설치하는 게 좋다. 맥용 엔드포인트를 직접 분석하기 힘들다면 맥을 전문으로 연구하거나 윈도만큼 맥에 대해 잘 아는 기업들로부터 구매하는 게 안전하다. “애플도 자체 보안 도구를 강력하게 늘려가고 있긴 하지만 그 어떤 보안 도구도 완벽할 수 없습니다. 윈도 자체 도구들도 막 나왔을 때는 힘을 발휘하지만 결국 공격자들은 어떻게든 우회로를 발견하거든요. 언젠가는 서드파티 툴을 반드시 사용하게 될 겁니다. 미리 이런 연구를 하는 업체들을 알아두고 제품에 대한 경험도 쌓아보는 게 좋습니다.”

클레이는 애플 환경에서도 업데이트와 최신화 작업에 촉각을 곤두세워야 하는 건 여전하다고 강조한다. “애플의 경우 안드로이드나 윈도와 달리 업데이트가 반쯤 강제적으로 진행됩니다. 그래서 약간은 편리한 부분이 있지만 그럼에도 소홀히 하면 안 됩니다. 조직 차원에서 패치를 관리하는 방안을 윈도에서와 똑같은 수준으로 마련해야 합니다. 이건 깊이 있는 기술적 이해 없이도 할 수 있습니다.”

3줄 요약
1. 맥, 기업 환경에서도 점점 많이 사용되기 시작함.
2. 해커들이 이를 알고 점점 많이 공격하기 시작함.
3. 보안 업계와 애플도 이를 알고 점점 많이 고민하기 시작함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 유니뷰코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 프로브디지털

    • 인텔리빅스

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 세연테크

    • 비전정보통신

    • 디비시스

    • 동양유니텍

    • 스피어AX

    • 투윈스컴

    • 아이리스아이디

    • 한결피아이에프

    • 유에치디프로

    • 위트콘

    • 주식회사 에스카

    • 포엠아이텍

    • 세렉스

    • 안랩

    • 이글루코퍼레이션

    • 엔피코어

    • 시만텍

    • 트렐릭스

    • 스텔라사이버

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 미래시그널

    • 케이제이테크

    • 알에프코리아

    • 유투에스알

    • 아이엔아이

    • (주)일산정밀

    • 새눈

    • 에스에스티랩

    • 이스트컨트롤

    • 태정이엔지

    • 네티마시스템

    • 구네보코리아주식회사

    • 티에스아이솔루션

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 넥스트림

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 이오씨

    • 글로넥스

    • 메트로게이트
      시큐리티 게이트

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기