사파리 결함, 웹캠 및 온라인 계정 등 여러 곳에서 노출

By LILY HAY NEWMAN, WIRED US

보통 브라우저 탭을 수십 개 켠 상태에서 갑자기 임의의 광고 실행이 시작되는 광고를 찾지 못하는 상황에서 최악의 문제가 발생하기 시작한다. 그러나 애플이 2021년 말에 수정한 맥OS의 수많은 취약점은 사파리 탭과 다른 브라우저 설정을 공격에 노출하고는 해커가 사용자의 온라인 계정 정보 통제 권한을 손에 넣고 마이크나 웹캠을 실행할 수 있는 문제였다.

맥OS는 맥에서 실행하는 소프트웨어 검증 상태를 확인하는 게이트키퍼(Gatekeeper)를 포함한 일종의 공격 보호 기능이 사전 설치된 상태이다. 그러나 이번 해킹은 맥OS가 항상 신뢰하는 아이클라우드와 사파리 기능을 악용하여 맥OS의 각종 보호 프로그램을 우회한다. 개인 보안 연구원 라이언 피크런(Ryan Pickren)은 사파리의 잠재적 취약점을 찾아내면서 아이클라우드의 문서 공유 메커니즘을 조사하기 시작했다. 아이클라우드와 맥OS 간 신뢰한다는 본질적인 특성 때문이다. 다른 사용자와 아이클라우드 문서를 공유할 때, 애플은 사용자에게 보이지 않는 앱인 ‘셰어베어(ShareBear)’를 몰래 실행하여 데이터 전송에 협력한다. 피크런은 셰어베어를 복제해 피해자에게 악성 파일을 전달할 수 있다는 사실을 확인했다.

“해커 세력은 기본적으로 브라우저의 보안을 약화한다.”
라이언 피크런, 보안 연구원

사실, 파일 자체가 처음부터 악성 파일은 아니며, 피해자에게 무언가 매력적인 요소를 전달해 파일을 클릭하도록 속이기 쉽도록 만든다. 피크런은 사파리와 아이클라우드, 셰어베어 간의 신뢰 때문에 해커가 손쉽게 나중에 피해자의 파일에 재방문하여 몰래 파일을 악성 파일로 바꾼다고 설명했다. 모두 피해자가 아이클라우드에서 새로운 명령을 받지 못하거나 변경 사실을 인지하지 못한 상태에서 이루어진다.

해커가 공격을 개시한 뒤 본질적으로 사파리를 장악하게 돼 피해자의 행동을 보면서 로그인한 계정 정보에 접근하고는 피해자가 카메라와 마이크 접근을 위해 웹사이트에 부여한 허가 권한을 악용한다. 해커 세력은 피해자의 맥 자체에 보관된 다른 파일에도 접근할 수 있다.

애플에 취약점을 공개한 피크런은 “해커 세력은 기본적으로 브라우저의 보안을 약화한다”라며, “브라우저 탭에서 트위터 웹사이트에 접속하면, 트위터에 접속한 탭으로 이동해 사용자가 트위터에서 하는 모든 활동을 모두 할 수 있다. 그러나 트위터 서버나 보안으로는 이를 막을 방법이 없다. 해커는 사용자가 이미 브라우저에서 보유한 역할을 추측할 뿐이다”라고 말했다.

2021년 10월, 애플은 사파리의 웹킷 엔진 취약점 패치 작업을 진행하고는 아이클라우드를 변형했다. 12월에는 스크립트 에디터 코드 자동화와 편집 툴의 취약점 관련 패치 작업을 완료했다.

오랫동안 보안 연구원으로 활동한 맥OS 보안 비영리 단체 오브젝티브씨(Objective-See) 창립자인 패트릭 와들(Patrick Wardle)은 “매우 놀라운 보안 악용 체인이다. 설계 결함을 악용하고는 맥OS에 사전 설치된 능력을 이용해 방어 메커니즘을 우회하면서 시스템 보안을 공격한 점에서 지능적인 공격이라고 할 수 있다”라고 말했다.

피크런은 과거 웹캠 실행 권한을 장악할 수 있는 일련의 사파리 버그를 발견했다. 새로 발견한 문제는 2021년 7월 중순 애플의 버그 바운티 프로그램을 통해 공개했으며, 애플은 피크런에게 보상금 10만 5,000달러를 지급했다. 애플은 과거에도 버그 바운티 프로그램을 통해 피크런에게 지급한 것과 비슷한 수준의 보상금을 건넨 적이 있으나 보상금 규모는 결함의 심각성을 드러낸다. 일례로, 애플은 2020년 단일 로그인 시스템에서 ‘애플 계정으로 로그인하기(Sign In With Apple)’ 관련 중대한 결함 발견 보상금 10만 달러를 지급한 적이 있다.

그러나 사파리와 웹킷은 거대한 플랫폼이 있어 보안 문제의 특수한 어려움이 있다. 애플은 취약점이 수 주 혹은 수개월에 걸쳐 공개되었을 때도 문제를 다루는 데 어려움이 있었다.

피크런은 “시스템이 더 복잡해질수록 더 많은 버그가 도입된다. 특히, 최근의 웹 브라우저에 자주 발생하는 문제이다. 사파리가 수많은 기능을 지원하지만, 기능이 증가할수록 버그가 증가한다는 사실은 그리 놀랍지 않다”라고 말했다.

버그 자체는 보편적이지만, 심각성이 약해지는 것은 아니다. 해커 세력은 주기적으로 범죄 목적과 국가 단위 해킹 공격에 브라우저 취약점을 악용한다. 예를 들어, 악성 바이러스에 감염된 웹사이트 방문자를 겨냥한 워터링 홀(watering hole) 공격을 악용하는 일이 흔하다. 또, 해커 세력은 패치 작업이 되지 않은 제로데이 브라우저 취약점을 발견하거나 구매한 뒤 피해 대상이 브라우저를 업데이트하지 않은 때를 기회로 엿보면서 오래된 버그를 함께 공격에 적극적으로 동원하기도 한다.

피크런은 “이와 같은 공격은 브라우저 최신 업데이트 유지의 중요성을 강조한다. 공격 위험성에서 멀어지기는 쉽지만, 매우 중요한 일이다”라고 말했다.

각자 사용하는 브라우저의 종류를 떠나 보안을 위해 최신 브라우저 업데이트 상태를 유지하는 것이 중요하다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Safari Flaws Exposed Webcams, Online Accounts, and More

와이어드 코리아=Wired Staff Reporter iufcsol0122@spotv.net

이 기사를 공유합니다