애플 맥 OS X 10.7.3 라이언에 사용자 패스워드를 텍스트로 저장하는 황당한 보안 취약점이 나타났다. 그것도 암호화를 지원하지 않는 영역에 패스워드를 저장하고 있었다. 고양이에게 생선을 맡겨놓은 격이다.
미국 지디넷은 6일(현지시간) 애플 맥OS X 라이언에서 패스워드가 포함된 텍스트 파일이 노출되는 보안 결함이 발생했다고 보도했다. 마이크로소프트(MS) 윈도의 경우 패스워드를 암호화 시스템 영역에 저장하고 있는 것과는 대조적이다.
한 애플 프로그래머는 우연히 맥OS X 라이언 시스템 최신 버전에 디버그 결함이 남아있는 것을 확인한 것으로 알려졌다. 대다수 사용자들이 이용하고 있는 패스워드를 포함한 로그 파일이 시스템 상에 고스란히 남아있다는 것이다. 이로 인해 애플이 보안 강화를 위해 야심차게 내놓은 파일볼트(FileVault)가 무색해져버렸다.
보안 결함을 처음 발견한 것은 보안 전문가 데이비드 에머리다. 그는 이 버그가 보안 업데이트를 통해 개선되지 않고 있다고 지적했다. 암호화 영역 밖에 로그 파일이 저장되고 있어 해커들이 마음만 먹으면 얼마든지 접속이 가능하기 때문에 개선이 시급하다는 것이다.
지디넷은 파일볼트에 의존해 보안을 해왔던 기업 사용자들이 있다면 정보 유출로 인해 비즈니스에도 큰 타격을 입을 수 있다고 전했다.
만일 내부직원들이 맥을 사용하고 있다면 파일볼트를 통해 암호화를 지원하더라도 패스워드는 고스란히 암호화되지 않은 영역에 저장된다. 파일볼트는 무용지물이 된다는 이야기다.
또한 하드드라이브에 백업을 했을 경우에도 백업된 파일에 요청되는 패스워드 역시 고스란히 텍스트로 저장되어 노출될 수 있다. 이뿐 아니라 지디넷은 한 번 공격자가 마음먹고 시스템을 타깃으로 악성코드를 심어두는 등 물리적인 접근도 가능하다고 지적했다. 중요 정보를 보유한 기업 사용자들에게는 심각한 취약점이다.
관련기사
- 맥 악성코드 제작자, 이제 금전 탈취까지?2012.05.07
- 애플 맥 악성코드 대란...이것 때문?2012.05.07
- 애플 굴욕 끝? 맥 악성코드 60만→3만대2012.05.07
- 맥OS, 바이러스 감염 안 당하려면…2012.05.07
지디넷은 애플이 이번 취약점을 가능한 빨리 개선해야 한다고 지적했다. 그러나 문제는 여전히 남아있다. 패치가 이뤄진다 하더라도 완전한 문제해결이 이뤄지기는 어려운 상황이란 것이다. 이에 대해 애플은 아직 입장을 밝히지 않고 있는 상태다.
한편 애플은 맥PC 60만대를 감염시킨 플래시백 악성코드 등장해 파문을 일으킨 바 있다. 이로 인해 보안 안전지대로 평가받아 온 애플의 명성에 굴욕을 안겨준 사건으로 알려지게 됐다.