본문 바로가기 주메뉴 바로가기 검색 바로가기
iOS·안드로이드·크롬, 지금 당장 업데이트하라
상태바
iOS·안드로이드·크롬, 지금 당장 업데이트하라
이외에도 마이크로소프트는 100여 가지 결함을 다룬 패치 작업을 진행했으며, 오라클은 500가지가 넘는 보안 결함을 배포했다.
By KATE O'FLAHERTY, WIRED UK

2022년 4월은 애플 iOS와 구글 크롬의 긴급 패치부터 이미 해커 세력이 악용한 취약점 수정까지 보안 업데이트의 중요한 한 달이었다.

마이크로소프트는 4월 중순 화요일 패치 작업의 일부 과정에 따라 중요한 수정 사항을 배포했다. 여러 기기의 안드로이드 운영체제 사용자는 최대한 최신 버전 업데이트를 완료해야 한다.

누구나 알아야 할 2022년 4월 주요 업데이트 사항을 모두 전달한다.

애플 iOS와 아이패드OS 15.4.1, 맥OS 12.3.1
애플 iOS 15.4 배포 단 2주 후, 애플은 이미 아이폰 공격에 동원된 애플AVD(AppleAVD) 취약점을 수정하고 iOS와 아이패드SO 15.4.1에 배포했다. 애플은 지원 페이지를 통해 CVE-2022-22675라고 분류된 취약점을 악용한 해커 세력이 앱을 통해 가장 중요한 권한을 이용하여 임의 코드를 실행할 수 있다고 밝혔다. 이를 이용하면, 해커 세력은 기기 전체를 통제할 수 있어, 수정 사항을 적용하는 것이 중요하다.

추가로 iOS 15.4 업데이트 후 발생한 일부 아이폰의 배터리 소모 문제를 해결하고자 iOS 15.4와 아이패드OS 15.4.1 수정 사항도 배포했다. 업데이트는 아이폰6S 이후 모델과 아이패드 프로 및 아이패드 에어2 이후 모델, 아이패드 5세대 이후 모델, 아이패드 미니4 이후 모델, 아이팟 터치 7세대 등에 적용할 수 있다.

반면, 맥OS 몬터레이 12.3.1도 맥OS에서 iOS, 아이패드OS와 같은 문제를 해결하고, 인텔 그래픽 드라이버에서 발견한 또 다른 취약점인 CVE-2022-22674도 수정했다. CVE-2022-22674는 앱이 핵심 메모리를 읽도록 할 수 있다. CVE-2022-22674는 또 다른 중요한 수정 사항이다. 애플은 해커 세력이 CVE-2022-22674를 악용했을 가능성이 있다고 밝혔다.

애플은 tvOS 15.4.1과 워치OS 8.5.1에 버그 수정을 포함한 수정 사항도 배포했다.

애플의 업데이트 사항은 지난 1년간 이스라엘 기업 NSO 그룹(NSO Group)이 개발한 교묘한 멀웨어인 페가수스(Pegasus) 스파이웨어가 악용한 제로 클릭 문제를 포함한 여러 가지 중대한 취약점을 수정하면서 지난 1년간 수많은 문제를 빠른 속도로 업데이트했다. 페가수스 스파이웨어를 중심으로 이루어진 수정사항 배포는 토론토대학교 산하 시티즌 랩(Citizen Lab) 소속 보안 연구팀이 페가수스를 포함해 유사한 제로클릭 공격이 유럽 의회 관계자와 국회의원, 정치 운동가, 시민 단체 등을 감시 대상으로 삼은 사실을 자세히 담은 일련의 보고서를 발표한 것이 영향을 미쳤다.

제로클릭 공격은 새로 적용되는 즉시 기존 작업과의 소통이 필요하지 않다는 점에서 매우 끔찍하다. 즉, 아이메시지로 전송하는 이미지가 아이폰의 스파이웨어 감염 원인이 될 수 있다는 의미이다.

시티즌 랩 측은 과거 공개되지 않은 iOS 제로클릭 취약점인 오마쥬(HOMAGE)도 자세히 설명하였다. iOS 13.2 이전 버전을 적용한 일부 기기가 오마쥬 감염 위험성이 있어, 아이폰 최신 업데이트가 중요하다.
 
[사진=Unsplash]
[사진=Unsplash]

안드로이드 2022년 4월 패치
안드로이드 사용자도 보안 업데이트에 주의해야 한다. 구글은 4월 한 달 동안 모바일 운영체제에서 발견한 결함 44건을 대상으로 패치 작업을 진행했다. 구글의 안드로이드 시큐리티 불렛인(Android Security Bulletin)은 프레임워크 구성요소의 가장 심각한 문제가 사용자와의 소통 없이 특권을 강화할 수 있다고 설명했다.

구글의 주된 업데이트는 크게 대다수 안드로이드 기기에 적용한 2022년 4월 1일 보안 패치와 2022년 4월 5일, 특정 스마트폰과 태블릿에 적용한 보안 패치로 나누어 볼 수 있다. 두 차례 발표된 수정 작업은 시스템과 핵심 구성요소의 문제 30가지를 수정했다. 또, 구글 픽셀 스마트폰에서만 발견된 우선순위 강화 문제를 일으키는 5가지 보안 문제와 리눅스 특정 버전의 코드 실행도 수정했다.

업데이트 사항을 발견하고자 한다면, 기기 설정을 확인해야 한다. 지금까지 4월 안드로이드 업데이트가 지원된 기기는 구글 픽셀 기기와 삼성 갤럭시 A32 5G, 갤럭시 A52 5G, 갤럭시 A53 5G, 갤럭시 A71, 갤럭시 S10 시리즈, 갤럭시 S20 시리즈, 갤럭시 노트20 시리즈, 갤럭시 Z 플립 5G, 갤럭시 Z 플립 3, 갤럭시 Z 폴드, 갤럭시 Z 폴드2, 갤럭시 Z 폴드 3, 원플러스 9, 원플러스 9 프로 등이다.

구글 크롬 긴급 업데이트
전 세계 사용자 30억 명이 넘는 세계 최대 브라우저인 크롬이 해커의 공격 대상이 된다는 점은 그리 놀라운 일이 아니다. 브라우저 기반 공격은 특히 다른 여러 취약점과 연계돼, 사용자 기기 권한을 장악할 수 있다는 점에서 특히 우려할 만한 문제이다.

4월은 수 주에 걸쳐 여러 가지 보안 업데이트 사항을 배포한 구글 크롬 브라우저팀에 매우 바쁜 시기였다. 4월 중순 배포된 최신 업데이트 사항은 해커 세력이 이미 악용한 것으로 확인된 매우 심각한 제로데이 취약점 CVE-2022-1364를 포함한 두 가지 문제를 수정했다.

기술적 상세 사항은 현재 확인할 수 없으나 보고 후 단 며칠 뒤 수정사항이 배포되었다는 사실은 매우 심각한 문제임을 시사한다. 크롬 브라우저를 사용한다면, 현재 수정 사항이 적용된 100.0.4896.127 버전을 사용해야 한다. 업데이트 설치 후 설치 사항을 확실히 활성화하기 위해 크롬을 재시작해야 한다.

크롬에서 발견된 문제는 브레이브(Brave)와 마이크로소프트 엣지(Microsoft Edge), 오페라, 비발디 등 다른 크로뮴 기반 브라우저에도 영향을 미친다. 따라서 크로뮴 기반 브라우저 사용자도 패치를 적용해야 한다.

그러나 구글이 크롬과 관련해 배포한 패치는 위의 사항이 전부가 아니다. 구글은 4월 27일(현지 시각), 또 다른 크롬 업데이트 사항을 배포하여 30가지 보안 취약점을 수정했다. 아직 취약점 악용 사례는 발견되지 않았으나 7가지 취약점이 매우 심각한 문제인 것으로 확인됐다. 4월 27일 자로 배포된 업데이트 사항은 101.0.4951.41 버전 브라우저에 적용할 수 있다.

오라클 2022년 4월 주요 패치 업데이트
4월 중순, 오라클은 분기별 중대한 패치 업데이트(Critical Patch Update)를 적용했다. 업데이트 사항에는 보안 수정사항 520개가 포함됐다. 업데이트로 수정한 일부 문제는 심각한 문제이며, 300개는 인증 과정을 거치지 않고 원격으로 악용할 수 있는 것으로 드러났다. 또, 75가지 보안 문제는 중요한 심각성을 지닌 것으로 분류됐다. 오라클 패치가 다룬 문제 중에는 스프링 프레임워크 내 원격 코드 실행 결함인 스프링4쉘(Spring4Shell)이라는 이름으로 알려진 CVE-2022-22965가 포함되었다.

패치 화요일과 함께 분주한 4월 보낸 마이크로소프트
마이크로소프트는 4월, 패치 화요일(Patch Tuesday)과 함께 중대한 결함인 RCE 결함 10가지를 포함해 총 100가지가 넘는 취약점을 수정했다. 마이크로소프트는 가장 중요한 결함 중 하나인 CVE-2022-24521을 해커 세려기 이미 악용했다고 밝혔다.

미국 국가안전보장국(NSA)과 사이버 보안 기업 크라우드스트라이크(CrowdStrike) 소속 연구팀은 윈도 커몬 로그 파일(Windows Common Log File) 시스템 드라이버 문제는 인간과의 소통이 없어도 악용될 수 있으며, 로그인 시스템에서 관리 권한을 확보할 수 있다고 설명했다. 또 다른 주요 수정 사항 중에는 대중적으로 알려진 CVE-2022-26904와 심각한 DNS 서버 결함인 CVE-2022-26815가 포함되었다.

모질라 썬더버드 91.8.0 수정
4월 5일(현지 시각), 모질라는 썬더버드(Thunderbird) 이메일 클라이언트의 보안 문제와 파이어폭스 브라우저의 보안 문제 패치를 배포했다. 상세한 정보는 드물지만, 썬더버드 91.8은 위험성이 높은 취약점 4개가 포함됐으며, 간혹 임의 코드 실행에 악용될 수 있는 것으로 드러났다.

파이어폭스 ESR 91.8과 파이어폭스 99도 여러 가지 보안 문제를 수정했다.

워드프레스 플러그인 엘리멘터 버전 3.6.3
워드프레스의 엘리멘터(Elementor) 웹사이트 빌더 플러그인도 4월, 중요한 취약점을 대상으로 중대한 보안 문제를 수정했다. 이번 수정 사항 중에는 해커가 원격 코드 실행을 개시하고 웹사이트를 통제하는 데 악용할 수 있는 문제가 포함되었다.

플러그인 취약점 연구팀이 발견한 이번 결함은 3월 22일 자로 배포된 버전 3.6.0의 플러그인에 적용됐다. 연구팀은 “자세한 보안 검토와 함께 모든 문제가 해결되기 전까지 버전 3.6.0 플러그인을 사용하지 않는 것을 권고한다”라고 말했다.

취약점을 악용하기 위해 인증 과정을 거쳐야 하지만, 악용 위험성이 있는 웹사이트에 접속한 이들 모두에게 매우 심각한 피해를 줄 수 있다. 엘리멘터 사용자 500만 명에게 적용된 업데이트 버전인 버전 3.6.3을 최대한 빨리 적용해야 한다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
You Need to Update iOS, Android, and Chrome Right Now
이 기사를 공유합니다
RECOMMENDED