현재 사용 중인 맥에 사전 탑재된 멀웨어 감지 툴 중 하나는 생각처럼 제대로 실행되지 않을 수도 있다. 2023년 8월 12일(현지 시각), 라스베이거스에서 개최된 데프콘 해커 컨퍼런스(Defcon hacker conference) 현장에서 맥 보안 연구원 패트릭 와들(Patrick Wardle)이 애플 맥OS 백그라운드 태스크 관리 메커니즘의 취약점을 설명했다. 와들이 설명한 취약점은 보안 탐지 작업 우회 목적으로 악용돼, 애플이 최근 추가한 감지 툴의 보안 기능을 무력화할 수 있다.
컴퓨터에서 완벽한 정확도를 보장한 채로 멀웨어를 탐지할 풀 프루프(foolproof) 방식은 없다. 악성 프로그램도 웹 브라우저나 채팅 앱과 같은 소프트웨어라는 핵심 때문이다. 문제가 없는 정통한 프로그램과 보안 관행을 어긴 악성 툴을 구분하기 어렵다. 따라서 외부 보안 기업은 물론이고, 마이크로소프트, 애플 등 운영체제 개발사는 새로운 방식으로 악성 소프트웨어 행동을 지목할 수 있는 새로운 탐지 방식과 툴 개발 작업을 항상 진행한다.
애플의 기본 설정된 기본 추적 툴은 소프트웨어가 꾸준히 보는 대상에 집중한다. 멀웨어는 수명이 짧고, 기기에서 일시적으로 실행되거나 컴퓨터가 재시작할 때까지 가동한다. 게다가 컴퓨터 종료 및 재부팅 시 자체적으로 더 깊은 영역까지 꾸준히 공격 표적을 겨냥하도록 개발할 수도 있다. 상당수 합법 소프트웨어에는 꾸준함이 필요하므로 모든 앱과 데이터, 우선사항은 사용자가 기기를 종료하고 다시 시작할 때마다 등장한다. 그러나 소프트웨어가 예상치 못하게 계속 실행되거나 아무 경고 없이 실행한다면, 악성 소프트웨어가 존재한다는 징조이다.
이를 염두에 두고, 애플은 2022년 10월 자로 배포한 맥OS 벤투라에 백그라운드 태스크 매니저를 추가했다. 백그라운드 태스크 매니저 설치 후 사용자 기기에서 꾸준한 보안 문제가 발생한다면, 사용자와 시스템에서 실행 중인 외부 보안 툴에 직접 알림을 보낸다. 신규 애플리케이션을 내려받고 설치하기만 하면, 안내 메시지를 무시할 수 있다. 그러나 안내 메시지를 무시하지 않는다면, 보안 공격 피해 발생 가능성을 조사할 수 있다.
[사진=Unsplash]
와들은 데프콘 보안 컨퍼런스에서 발견 사항을 발표하며, “무언가 꾸준히 자체적으로 설치될 때 설치 사실을 알리는 툴이 필요하다. 애플이 이를 추가한 것은 좋은 소식이다. 그러나 설치 알림 메시지 전송 기능은 다소 교묘한 수법을 적용한 채로 발전한 멀웨어가 보안 탐지를 손쉽게 우회할 정도로 매우 형편없었다”라고 지적했다.
애플은 꾸준한 프로그램 설치 알림 오류와 관련된 와이어드의 문의에 즉각 답변하지 않았다.
와들은 무료 오픈소스 맥OS 보안 툴을 제공하는 오브젝티브-씨 재단(Objective-See Foundation) 운영의 일부 과정으로 지난 몇 년간 태스크 매니저와 비슷한 툴이기도 한 백그라운드 블록블록(BlockBlock)이라고 알려진 꾸준한 프로그램 설치 알림 툴을 제공했다. 와들은 “그동안 비슷한 툴을 여러 가지 배포하면서 직접 개발한 툴의 문제를 접했다. 그리고 애플이 자체 배포한 툴과 프레임워크가 개선해야 할 같은 문제를 지닐 가능성이 궁금했다. 애플도 같은 문제를 접한 것으로 확인됐다. 멀웨어는 지금도 전혀 보이지 않는 상태로 꾸준히 존재할 수도 있다”라고 말했다.
백그라운드 태스크 매니저가 처음 출시됐을 당시 와들은 꾸준한 프로그램 설치 알림 실패 원인이 되는 툴의 기본 문제를 발견했다. 와들은 애플에 문제를 보고했으며, 애플은 꾸준한 프로그램 설치 알림 전송 오류를 수정했다. 그러나 설치 알림 툴의 자세한 문제는 확인하지 않았다.
와들은 “설치 알림 전송 문제를 꼼꼼하게 조사하고, 결국에는 문제를 수정했다. 그러나 비행기가 추락할 때 테이프를 붙이는 수준의 조처만 한 것과 다를 바 없다. 애플은 설치 알림 기능 오류 개선을 위해 많은 작업이 필요하다는 사실을 깨닫지 못했다”라고 말했다.
와들이 컨퍼런스에서 발표한 보안 탐지 우회 문제 중 하나는 문제가 발생한 기기를 향한 근본적인 접근이 필요하다. 즉, 해커 세력이 기기를 완벽하게 제어하고, 사용자가 꾸준한 설치 알림 경고를 받지 못하도록 할 수 있다는 의미이다. 설치 알림 경고라는 잠재적 공격과 관련된 버그는 패치 작업이 중요하다. 해커 세력이 간혹 피해자 기기 깊은 영역까지 접근하고는 프로그램 설치 알림을 중단하고는 시스템이 원하는 것보다 더 많은 멀웨어를 심을 수 있기 때문이다.
더 큰 우려 사항이 되는 문제는 와들도 발견한 두 가지 경로가 사용자와 보안 모니터링 제품에 알림을 전송하는 것으로 가정하는 백그라운드 태스크 매니저의 꾸준한 알림 전송 비활성화 시 기본 접근 권한도 필요하지 않다는 사실이다. 이를 악용한 버그 탓에 발생한 문제 중 하나는 경고 시스템이 커널(kernel)이라는 컴퓨터 운영체제의 핵심 영역과 연결하는 방식이다. 나머지 문제는 사용자 혹은 강력한 시스템 권한이 없더라도 꾸준한 프로그램 설치 알림 전송 과정 자체를 비활성화할 수 있다는 문제이다. 와들은 해당 기능을 조작해, 사용자가 특정 프로그램 설치 사실을 알기 전 꾸준한 알림 전송을 방해한다는 사실을 확인했다.
와들은 애플에 먼저 문제를 보고하지 않고 데프콘 보안 컨퍼런스에서 문제를 발표한 이유가 이미 애플에 전체적인 범위에서 포괄적으로 보안 품질을 개선하는 데 사용할 수도 있는 백그라운드 태스크 매니저 결함을 알렸기 때문이리고 밝혔다. 이어, 보안 모니터링 우회는 맥OS의 보안 상태가 백그라운드 태스크 매니저 출시 전인 1년 전과 같은 수준으로 저하하는 결과로 이어질 수 있다고 덧붙였다. 그러나 애플이 성급하게 보안 모니터링 툴을 배포하거나 추가 테스트 필요성이 발견되는 것이 문제라는 점에 주목했다. 사용자와 보안 공급사 모두 보안 수준을 잘못 파악할 수 있기 때문이다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202308/4951_6462_150.jpg)
뉴스레터 신청