애플은 지난 몇 년간 아이폰과 맥의 보안 체계를 강화했다. 그러나 어떠한 기업도 이번에 발견된 보안 문제에 대응할 능력을 갖추지 못했다. 최근, 어느 한 보안 연구팀이 애플의 아이폰과 맥 운영체제에 영향을 미칠 수 있는 신종 버그를 발견했다. 해당 버그를 사이버 공격에 악용한다면, 해커 세력이 메시지와 사진, 통화 이력 등을 탈취할 수 있다.
2월 21일(현지 시각), 보안 기업 트렐릭스(Trellix)의 첨단 연구 센터(Advanced Research Center)는 해커 세력이 애플 보안 보호 기능에 침투하여 자체적으로 인증되지 않은 코드를 실행하도록 할 수 있는 버그의 상세 정보를 게재했다. 해당하는 연구팀이 발견한 버그는 위험성 수준 ‘중간’부터 ‘높음’까지 해당하며, 애플이 사용자 보호를 위해 적용한 보호 기능을 우회한다.
트렐릭스 취약점 연구 소장 더그 맥키(Doug McKee)는 “기본 수준에서 애플 보안 모델에 침입한다는 점이 핵심이다. 맥키 소장은 신규 버그 집단 발견은 보안 연구원과 애플 모두 추후 비슷한 버그를 발견하고, 전반적인 보안 보호 수준을 개선해야 한다는 점을 의미한다고 언급했다. 애플은 트렐릭스 연구팀이 발견한 버그 모두 수정했으며, 현재까지 버그를 악용한 사이버 공격은 보고되지 않았다.
트렐릭스 연구팀의 발견은 구글과 토론토대학교 연구 기관인 시티즌 랩(Citizen Lab)의 과거 연구를 기반으로 한다. 2021년, 구글과 시티즌랩은 iOS 기기를 겨냥한 제로클릭 및 제로데이 버그인 포스드엔트리(ForcedEntry)를 발견했다. 포스드엔트리는 이스라엘 스파이웨어 개발사 NSO 그룹과 관련된 것으로 드러났다. (매우 교묘하게 설계된 포스드엔트리는 사우디아라비아 사회 운동가의 아이폰에 설치돼, NSO 그룹의 페가수스 멀웨어 유포에 동원되었다.)
포스드엔트리 분석 결과, 두 가지 핵심 요소가 존재하는 것으로 나타났다. 첫 번째 요소는 아이폰에 속임수를 적용하여 GIF 파일로 위장한 악성 PDF 파일을 실행한다는 사실이다. 두 번째 요소는 해커 세력이 앱의 다른 앱에 보관된 데이터 접근성과 기기의 다른 부분 평가를 유지하는 애플 샌드박스에서 벗어날 수 있다는 점이다. 수석 취약점 연구원 오스틴 엠밋(Austin Emmitt)이 이끈 트렐릭스의 연구는 두 번째 요소에 초점을 맞추었으며, 결과적으로 엠밋이 발견한 결함은 샌드박스를 우회한다는 사실을 확인하게 됐다.
[사진=Freepik]
특히, 엠밋은 애플 시스템 내부에서 코드를 분류할 수 있는 툴인 NSPredicate를 중심으로 개발된 취약점을 무더기로 발견했다. NSPredicate의 첫 번째 악용 사례는 포스드엔트리이다. NSPredicate 연구 결과 발표 이후 애플은 2021년, NSPredicate 악용을 막을 새로운 방식을 도입했다. 그러나 애플이 새로 도입한 기능만으로는 충분하지 않았다. 트렐릭스 연구팀은 연구 결과를 상세히 설명한 공식 블로그 게시글을 통해 “트렐릭스는 새로운 NSPredicate 완화 방식을 우회할 수 있다는 사실을 발견했다”라고 언급했다.
맥키 소장은 NSPredicate 내부에 존재하는 버그가 아이폰 홈 화면 관리 및 위치 데이터, 사진, 카메라 접근이 가능한 앱인 스프링보드(Springboard)를 포함해 맥OS와 iOS 기기 전체 영역 중 여러 군데에 존재할 수 있다고 설명했다. 버그 악용 시 해커 세력은 폐쇄되어야 할 영역에 접근할 수 있다. 트렐릭스는 취약점 악용 방식을 보여주는 개념 증명(proof-of-concept) 영상을 공개했다.
맥키 소장은 애플 기기 속 신종 버그는 그동안 존재 사실을 몰라 연구하지 않았던 영역을 들여다보도록 한다고 언급했다. 그는 “이번에 발견한 버그는 고도로 첨단화된 기술을 활용할 수 있는 공격 세력이 이미 NSPredicate 취약점을 포함한 버그 종류를 악용했다는 점에서 포스드엔트리를 배경으로 한다”라고 덧붙여 전했다.
NSPredicate 취약점을 포함한 버그를 악용하려 하는 해커 세력은 공격 대상의 기기의 초기 접근 권한을 가져야 한다. NSPredicate 시스템 악용 전 기기 접근 권한을 손에 넣을 방법을 찾아야 할 것이다. (NSPredicate 취약점의 존재 자체는 실제 버그가 악용되었다는 의미는 아니다.)
애플은 연구팀이 1월 배포된 맥OS 13.2와 iOS 16.3 업데이트 사항에서 발견한 NSPredicate 취약점 패치 작업을 완료했다. 또한, 최근 발견된 NSPredicate 취약점에 CVE-2023-23530, CVE-2023-23531로 CVE 코드를 부여했다. 애플은 CVE-2023-23530과 CVE-2023-23531 패치 작업을 진행한 뒤 최신 맥OS와 iOS 업데이트도 배포했다. 신규 업데이트 사항에는 사용자 기기에서 악용된 버그에 대응할 보안 수정 사항이 포함되었다. 아이폰과 아이패드, 맥이 최대한 항상 최신 운영체제를 사용하도록 확실히 업데이트해야 한다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202303/4585_6037_4047.jpg)
뉴스레터 신청