Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
맥OS / 보안

모든 파일에 접근할 수 있는 맥OS 취약점 공개 "오래된 OS는 여전히 위험"

Roman Loyola | Macworld 2022.08.16
애플이 OS 업데이트를 배포했다면 가능한 한 빨리 업데이트하는 것이 좋다. 가장 큰 이유는 중요한 보안 패치가 포함되어 있는 경우가 많기 때문이다. 최근 사이버보안 업체 컴퓨테스트리마인즈(Computestremids)의 보안 연구원 티즈 알케메이드가 공개한 보고서에서도 신속한 업데이트가 중요한 이유를 알 수 있다.
 
ⓒ Getty Imges Bank

와이어드(Wired)는 맥OS의 저장된 상태 기능에서 취약점이 발견됐다고 보도했다. 이 기능은 맥을 다시 시작하면 열려 있던 앱과 파일이 자동으로 다시 열리는 기능이다. 2020년 12월 이 취약점을 발견한 알케메이드는 맥의 저장된 상태에 대한 프로세스 주입 공격을 성공적으로 수행했다. 그런 다음 몇 가지 다른 맥 보안 기능을 우회해 사용자 파일에 접근하고, 시스템 설정을 변경하고, 심지어 웹캠까지 사용할 수 있었다. 다만 와이어드의 보도에 따르면, 해당 취약점이 실제로 악용된 사례를 발견되지 않았다.

공통 취약점 및 노출 데이터베이스에 CVE-2021-30873로 등록된 취약점은 2021년 10월 25일 출시된 맥OS 몬터레이 12.0.1 업데이트에서 수정됐다. 지원 문서에 따르면, 맥OS 카탈리나의 경우에는 2021년 10월 24일에 배포된 보안 업데이트 2021-007에 같은 취약점에 대한 패치가 포함되어 있다. 하지만 빅서에서 사용할 수 있는 패치는 없는 것으로 보인다. 카탈리나보다 오래된 버전의 맥OS(버전 10.14.6 모하비 및 이전 버전)은 애플에서 지원하지 않거나 더 이상 사용되지 않는 것으로 간주된다. iOS 14.5 및 아이패드OS 14.5에서도 유사한 결함이 패치된 바 있다. 

컴퓨테스트는 블로그를 통해 해당 취약점을 이용한 공격에 대해 자세히 설명하고, 애플의 통합 개발 환경(IDE) 앱인 엑스코드(Xcode)를 사용해 수정 사항을 확인할 수 있는 방법을 소개했다. 매우 기술적인 내용이지만 알케메이드는 “SIP의 파일 시스템 제한에서 제외되면 사용자의 Mail.app 사서함과 같은 보호된 위치에서 모든 파일을 읽을 수 있다. TCC 데이터베이스도 수정할 수 있는데, 이는 곧 웹캠이나 마이크 등에 접근 권한을 부여할 수 있다는 의미다”라고 설명했다. 

알케메이드는 최근 개최된 2022 미국 블랙햇 컨퍼런스에서 이 같은 연구 결과를 발표했다. 알케메이드의 발표 자료도 공개되어 있다. 일반적으로 보안 연구원은 취약점을 발견하면 해당 업체에 보고하고 취약점이 수정된 후에 발견된 내용을 공개한다.


맥OS 업데이트하기

맥OS 업데이트는 무료다. 인터넷 연결이 필요하며 맥을 다시 시작해야 한다. 설치에 소요되는 시간은 30분 정도다. 구체적인 방법은 다음과 같다.
 
  1. 애플 메뉴에서 시스템 환경설정 선택
  2. 소프트웨어 업데이트 클릭
  3. 업데이트할 수 있으면 설치 단추가 나타난다. 설치 단추를 클릭하면 맥이 업데이트를 다운로드하고 설치를 시작한다.
editor@itworld.co.kr
 Tags 맥OS 취약점 버그
Sponsored

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.