최신 맥OS, 암호 몰라도 로그인된다고?

'하이 시에라'서 root만 입력하면 관리자 권한 로그인

컴퓨팅입력 :2017/11/29 12:50

애플의 최신 맥 컴퓨터 운영체제(OS)에서 패스워드를 몰라도 누구든지 관리자 권한으로 로그인을 허용하는 심각한 버그가 발견됐다.

28일(현지시간) 다수 영미권 외신이 인용한 보안전문업체 '소프트웨어크래프트맨십터키' 설립자 레미 오한 어긴(Lemi Orhan Ergin)의 트윗 메시지에 따르면, 맥 컴퓨터 사용자는 주요 설정 변경시 뜨는 관리자 로그인 창에 'root'라는 사용자명을 입력하는 것만으로 로그인할 수 있다.

레미 오한 어긴은 "시스템설정(system Preferences) 안에서 사용자 및 그룹(Users & Groups)을 열고 값을 바꾸기 위해 잠금 표시가 된 항목을 클릭한 다음, 패스워드 없이 'root'를 (사용자명으로) 써 보라"며 "그걸 몇 번 시도해 보면 믿을 수 없는 결과가 나온다"고 썼다. [☞원문보기]

그가 말한 믿을 수 없는 결과란 뭘까. 이 관리자 로그인 창에 사용자명으로 root를 쓰고 패스워드 자리를 비워놓은 채 로그인을 시도하면, 처음엔 진입되지 않지만 몇 번 반복하면 결국 로그인이 된다. 반복하면 해당 컴퓨터의 관리자 권한을 요구하는 온갖 설정을 모두 바꿀 수 있다.

애플이 2017년 6월 WWDC에서 발표한 맥OS 최신버전 '하이시에라'에서 패스워드 없이 관리자 권한으로 로그인할 수 있는 버그가 발견됐다. (사진=씨넷)

왜 심각할까. 관리자 권한 로그인은 일반 사용자보다 OS 기능에 폭넓게 접근할 때 필요한 절차다. 관리자 권한으로 OS 초기화나 재설치, 민감한 설정 변경, 시스템 영역을 감시 및 제어하는 서드파티 소프트웨어 설치와 삭제, 일반 사용자 계정의 패스워드 등 정보 강제 변경이 가능하다.

그런데 패스워드를 모르는 사람이 관리자 권한으로 로그인할 수 있다는 건, 해당 컴퓨터를 쓰는 타인의 일반 사용자 계정 설정과 데이터까지 마음대로 고치거나 들여다볼 수 있다는 얘기다. 물리적으로 타인의 접근을 완벽하게 차단할 수 없는 모든 맥 사용자가 보안 위협에 노출된다.

미국 씨넷은 맥OS 로그인 과정에 패스워드를 치지 않고도 로그인할 수 있음을 직접 확인했다고 보도했다. [☞원문보기] 이 단순한 취약점을 악용하면 사용자가 아무리 패스워드를 보안상 안전하게 설정했더라도 기기에 물리적으로 접근하는 누구든 로그인할 수 있다고 지적했다.

맥OS 하이시에라 환경에서 시스템설정에 접근해 구성을 변경하려고 할 때 뜨는 관리자권한 로그인창에 패스워드 없이 root라는 사용자명을 쓰는 것만으로 진행이 이뤄진다. [사진=씨넷]

여기까지 확인된 내용만 놓고 보면, 관리자 로그인 창 버그가 이미 사용자 계정으로 로그인이 이뤄진 맥 컴퓨터에만 문제인 것처럼 비친다. 정상적으로 로그인하기 전 단계인 최초 부팅 직후의 로그인 화면이나, 노트북 덮개를 닫았다 펼치면 뜨는 절전 후 복귀시 로그인은 괜찮은 걸까.

그렇지도 않다. 미국 씨넷은 또다른 보안전문업체 사이버리즌의 보안연구자 아밋 서퍼(Amit Serper)의 트윗 메시지를 인용, 관리자 로그인 버그가 컴퓨터를 재시작한 뒤 나타나는 로그인 화면에서도 동작한다는 점을 시연했다고 전했다. 즉 전원을 꺼 놓은 맥 컴퓨터도 안전하지 않다.

관련기사

애플 측은 이 문제를 해결할 소프트웨어 업데이트를 만들고 있다. 그 전까지 이 보안 버그를 예방할 방법도 제시했다. 맥 컴퓨터 소유자가 스스로 root 사용자명을 쓰는 관리자 권한 계정에 패스워드를 지정하면 된다. 그 요령은 애플 공식 지원 웹페이지에 나와 있다. [☞원문보기]

더버지에 따르면 이 버그는 맥OS 하이시에라 10.13.1 버전에 존재한다. [☞원문보기] 나인투파이브맥은 게스트(guest) 사용자 계정을 비활성화하거나, 애플의 권고대로 관리자 계정 패스워드를 재설정하는 방법을 통해 임시로 문제를 예방할 수 있다고 설명했다. [☞원문보기]