맥 OS X 보안기능 우회하는 취약점 등장

컴퓨팅입력 :2015/10/01 13:47

손경호 기자

애플 맥 OS X 운영체제에 기본 제공되는 보안기능인 '게이트키퍼(Gatekeeper)'를 우회할 수 있는 취약점이 발견돼 애플이 대응에 나섰다.

주요 외신에 따르면 보안회사 사이넥(Synack) 소속 패트릭 와들 책임연구원은 최근 OS X 자체 취약점을 발견하는 대신 게이트키퍼를 우회할 수 있는 방법을 확인해 애플측에 알렸다고 밝혔다.

2012년부터 OS X에 도입된 게이트키퍼는 애플이 출시하는 맥북 시리즈에 설치되는 애플리케이션의 악성여부를 확인하는 기능을 가졌다. 애플은 자사에 등록된 개발자에게 전용 ID를 부여한다. 만약 공식 애플 앱스토어 외에 외부에서 다운로드 받은 애플리케이션을 설치하려고 할 경우 기존에 등록된 개발자ID를 통해 전자서명되지 않았을 경우 실행을 차단하는 것이다.

게이트키퍼를 우회해 악성코드를 실행할 수 있는 수법이 확인돼 애플이 대응에 나섰다.

와들 연구원은 게이트키퍼가 한번 전자서명을 거친 애플리케이션에 대해서는 이후에 추가로 검증과정을 거치지 않는다는 점을 발견했다. 이를 악용하면 일단 게이트키퍼를 통과할 수 있는 합법적인 애플리케이션 내부에 악성코드를 심어 게이트키퍼를 통과한 뒤에 실행되도록 하는 일이 가능하다는 설명이다. 비밀번호 탈취나 동영상 촬영이나 음성녹음, 원격조종에 악용되는 봇넷 소프트웨어가 설치될 수도 있다.

와들은 이중에서도 애플이 전자서명을 완료했으면서도 광범위하게 쓰이는 바이너리 파일(실행파일) 찾아냈다. 이 파일을 실행하면 같은 폴더 내에 함께 저장돼 있는 앱을 실행한다. 맥에서 실행되는 애플 디스크 이미지 형태로 원본 바이너리 파일과 악성실행파일을 함께 넣으면 이 중 원본 바이너리 파일이 이미 전자서명이 돼있다는 사실을 확인하는 것만으로 내부에서 실행이 가능해진다는 설명이다.

이러한 취약점을 악용하면 기존에 전자서명을 거쳐 설치된 포토샵 등과 같은 프로그램에 추가기능을 제공하는 플러그인에 악성코드를 집어넣는 일까지 가능해진다.

관련기사

와들 연구원은 이미 60여일 전에 애플에게 이러한 취약점이 존재한다는 사실을 알렸다. 애플측 역시 이러한 문제를 확인해 패치를 만드는 작업을 진행하는 중이다.

와들 연구원은 "내가 (이러한 취약점을)찾아냈다면 다른 해커그룹이나 국가가 후원하는 해커들도 유사한 취약점을 파악하고 있을 것"이라며 "발견한 바이너리 파일 외에도 애플이 기존에 전자서명을 거쳐 사용을 허락한 다른 앱들도 게이트키퍼를 우회하는 일이 가능할 것"이라고 밝혔다.