애플이 맥OS에서 개인정보 보호 체제를 우회할 수 있는 취약점과 더불어 애플TV에 탑재되는 tvOS 상의 취약점 2가지를 해소하는 보안 패치를 제공했다.
애플은 이같은 보안 패치를 적용한 맥OS 빅서 11.4, tvOS 14.6 버전을 24일(미국시간) 배포했다.
맥OS 취약점의 경우 맥 OS 빅서 기기의 투명성·동의·제어(TCC) 프레임워크에서 발견됐다. TCC 프레임워크는 기기에 설치된 앱이 권한 요청 없이 팝업 메시지를 띄우는 것을 차단해주는 시스템이다. 해당 취약점을 악용하면 공격자는 사용자의 개인정보 기본 설정을 우회해 중요 데이터에 접근할 수 있게 하는 악성 애플리케이션을 사용할 수 있게 된다. 공통보안취약점공개항목(CVE) 번호는 CVE-2021-30713이 붙었다.
애플 소프트웨어 전문 회사 잼프는 같은 날 자사 블로그를 통해 악성코드 'XCSSET'가 유포되는 과정에서 이 취약점이 적극적으로 악용된 사실을 발견했다고 밝혔다. 공격자는 이 취약점을 통해 사용자에게 동의를 받지 않고 전체 디스크 접근 및 화면 기록, 기타 권한 획득 등을 수행할 수 있게 되며, XCSSET 유포자는 사용자 화면을 촬영할 목적으로 이 취약점을 악용하고 있다고 설명했다.
XCSSET는 작년 글로벌 보안 기업 트렌드마이크로가 처음 발견한 악성코드로, 애플 브라우저 '사파리'에서 정보를 가로채고, 악성 자바스크립트 페이로드를 주입하려 한다. 트렌드마이크로는 ARM 기반 맥에서 작동하도록 개발된 XCSSET 변종을 지난달 발견한 바 있다.
애플은 이같은 보고를 인지하고 있다고 밝혔지만, 취약점 관련 공격 시도 및 피해 현황에 대해서는 언급하지 않았다.
관련기사
- 애플 "앱스토어 개방? 맥OS 보안 문제 봐라"2021.05.20
- MS 디펜더, 맥OS·리눅스에서도 쓸 수 있다2021.05.12
- 애플, iOS 14.5.1 배포…제로데이 패치2021.05.04
- 맥OS 보안 취약점 발견…"더블 클릭하면 바로 해킹"2021.04.27
이번에 패치된 tvOS 취약점은 CVE-2021-30663, CVE-2021-3065로, 애플TV 4K와 애플TV HD 기기에서 브라우저 렌더링 엔진 '웹킷'에 영향을 미친다. 이 취약점들이 악용되면 악성 웹콘텐츠를 통한 임의 코드 실행(RCE) 공격으로 이어질 수 있다.
미국 IT 매체 블리핑컴퓨터는 올해 애플의 보안 권고문에서 제로데이 취약점 패치 내용이 자주 언급되고 있으며, 이 중 대부분은 패치가 되기 전 사이버공격에 악용된 것으로 밝혀졌다고 지적했다.
