보안

"지난 7년보다 더 많이 바뀐 6개월" 맥OS 보안 강화 약속은 진심이었다

Jonny Evans | Computerworld 2022.09.07
애플 소프트웨어 엔지니어링 부문 선임 부사장 크레이그 페더리기는 지난해 “맥 악성코드가 용납할 수 없는 수준”이라고 말했다. 그냥 한 말이 아니었는지 현재 애플은 적극적으로 악성코드에 대처하고 있다.
 
 

맥 보호를 위한 큰 걸음

페더리기에 따르면, 맥은 악성코드와 지난한 전투를 벌이고 있다. 2020년 5월부터 2021년 5월 사이 30만 대의 시스템을 감염시킨 130가지 유형의 맥 악성코드가 발견됐다. 보안에 관한 맥의 명성을 고려하면 언뜻 이해가 안 가는 수치지만, 안전한 플랫폼을 유지하기 위해서는 끊임없는 경계가 필요하다. 애플은 최근 몇 년 동안 맥 플랫폼에 대한 모니터링을 강화했다. 시장 점유율이 확대되면서 매력적인 공격 대상이 되기도 했고, 범죄 목적으로 애플 코드 크랙을 시도하는 '서비스형 감시(surveillance-as-a-service)' 비즈니스라는 골칫거리도 경험했기 때문에 애플 입장에서는 당연한 행보였다.
 

새로운 위협 환경 "악질적이며 서로 긴밀히 연결"

2021년 애플은 논란이 된 사설 감시 기업 NSO 그룹(NSO Group)을 고소했다. 고소 당시 애플 보안 엔지니어링 및 아키텍처 부문 책임자인 이반 크르스틱은 다음과 같이 말했다.
 

애플의 위협 인텔리전스와 엔지니어링 팀은 애플 소프트웨어와 프로세서에서 새로운 위협을 분석하고 취약점을 빠르게 패치하고 업계를 선도하는 새로운 보호 대책을 개발하기 위해 부단히 노력하고 있다. 애플의 보안 엔지니어링은 세계에서 가장 정교한 수준이며, 앞으로도 NSO 그룹과 같이 적대적 정부의 후원을 받는 공격자로부터 사용자를 보호하기 위해 끊임없이 노력할 것이다.

 

여러 단계로 구성된 여정

이를 위해 애플은 독립 보안 연구 커뮤니티와의 협력을 전보다 훨씬 더 강화하는 등 플랫폼 보안 개선을 위한 많은 조처를 했다. 그 결과 사설 디지털 스파이 부대가 이용할 수 있는 일부 취약점을 더 조기에 파악하고 수정한 것으로 보인다.
 
대표적인 사례가 최근 발표된 iOS 12 응급 보안 패치다. 애플은 이 결함이 “적극적으로 악용됐을 가능성이 있다”고 언급했다. 애플은 더 최신 아이폰 및 아이패드에서 이와 동일한 결함을 몇 주 전에 수정했다. iOS 12용 수정까지 내놓은 것은 위협의 규모가 그만큼 크다는 것을 방증한다. 수백만 달러를 들여 해킹과 공격 방법을 구매하는 감시 기업이 악용하는 종류의 결함이 바로 이런 것이다. 감시 기업의 존재를 인지한 애플은 iOS 16에 잠금 모드를 도입했다. 잠금 모드는 높은 보안성을 위해 일부 사용성을 희생하는 애플 기기를 위한 초강력 보안 모드다.
 

맥에 적용되는 더 스마트한 악성코드 보호 기능

지금까지 잘 알려지지 않았지만 사실 애플은 한 가지 조치를 더 취했다. 맥 플랫폼에 없었던 보호 계층을 제공하는 자동화된 자가 진단과 악성코드 검사 기능을 도입한 것이다. 하워드 오클리는 “지난 6개월 동안 이뤄진 맥OS 악성코드 보호의 변화는 그 이전 7년간의 변화보다 더 많다. 맥이 카탈리나 또는 그 이상을 실행 중이라는 전제하에 이제 완전한 선제적 방식이며 많은 상용 안티 악성코드 제품 못지않게 능동적으로 작동한다”라고 말했다.
 
새로운 보호 기능은 맥OS 12.3의 X프로텍트 리미디에이터(XProtect Remediator)라는 새로운 툴/엔진에 의존하는 것으로 보인다. 이 툴은 애플의 기존 X프로텍트 악성코드 보호를 더 강화해 악성코드를 스캔하고 감지된 악성코드를 처리하는 기능을 제공한다. 오클리에 따르면 스캔은 종일 짧은 간격으로 실행되며 다양한 트로이 목마와 애드웨어, 브라우저 하이재커, 기타 위협 요소를 처리한다.
 
애플 기술 문서에 따르면, 악성코드가 맥에 침입한 때를 대비해 X프로텍트에는 감염을 치료하기 위한 기술이 포함된다. 예를 들어 애플이 자동으로 제공하는 업데이트(자동 시스템 데이터 파일 업데이트 및 보안 업데이트의 일부)를 기반으로 감염을 치료하는 엔진이 포함돼 있다. 또한 업데이트된 정보를 수신해 악성코드를 제거하며 계속해서 주기적으로 감염 여부를 검사한다.
 

정원 담장을 높이는 애플

이와 같은 조치는 애플이 맥에 지능적인 기기 내 악성코드 보호 기능을 도입하고 있음을 의미한다. 지능적인 보호 기능은 새로운 악성코드 정의로 손쉽게 업데이트된다. 요약하자면 애플은 담 바깥에서 침입을 노리는 독성 요소로부터 정원을 보호하기 위해 담을 더 높이 쌓아 올린 것이다. 이와 같은 보호 대책이 얼마큼의 효과를 발휘할지는 알 수 없다. 모든 보안 문제가 그렇듯 보안이 깨지기 전까지는 갑옷이 얼마나 튼튼한지 알 수 없다. 그러나 필자는 이러한 지능적 기기 내 보호가 지금까지 보안 서비스에서만 볼 수 있었던 수준의 보안 인식을 나타낸다는 오클리의 의견에 대체로 동의한다.
 
애플이 시스템 수준에서 이를 채택하기 위한 조처를 한다는 것은 적대적 정부가 후원하는 공격 환경이 만연한 새로운 상황에서 표준 경계 보안 보호의 바깥에 위치하는 분산된 엔드포인트를 보호해야 할 필요성을 애플이 인식하고 있다는 뜻일 가능성이 높다.
 
또한 맥, 아이폰, 아이패드 등 애플 생태계 전반의 다른 곳에서도 엔드포인트의 보안 인식을 더 높이기 위한 조치가 취해지고 있다. 관리형 디바이스 증명(Managed Device Attestation), 맥 MDM의 개선, USB 제한 모드, 그 외에도 맥 플랫폼에 구현되고 이는 다른 툴을 생각해 보자. 이와 같은 개선은 애플 보안팀이 범죄자가 사용하는 많은 공격 벡터를 찾아 막는 데 얼마나 전념하고 있는지를 잘 보여준다. 단, 가장 바꾸기 어려운 취약점은 여전하다. 보안 체인의 모든 수준에서 가장 약한 연결 고리인 사람, 더 정확히 말하면 사람의 실수다.
editor@itworld.co.kr
 Tags 맥OS

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.