보안

애플의 더딘 대응에 화난 해커, 맥 자바 공격 코드 공개

Robert McMillan | IDG News Service 2009.05.21

한 보안 연구원이 애플 맥 OS X의 오래 된 보안 문제에 대한 관심을 유도하기 위해 결함을 악용하는 공격 코드를 인터넷에 올려 논란이 일고 있다.

 

미국 샌프란시스코에 사는 랜던 풀러는 해커가 맥 상에서 승인받지 않은 시스템을 구동하는 데 사용할 수 있는 소프트웨어는 공개했는데, 맥 OS X의 자바 소프트웨어에 있는 심각한 버그를 이용한다. 이 버그는 지난 해 12월 3일 자바의 개발사인 썬 마이크로시스템즈가 수정했지만, 애플은 여전히 자사의 소프트웨어 업데이트에 이에 대한 패치를 포함시키지 않고 있다.

 

풀러는 설명하는 블로그 포스팅을 통해 “불행하게도 많은 맥 OS X의 보안 문제는 그 심각성을 적절하게 보여주지 않으면 무시되는 것 같다”며, “취약점이 밝혀진지가 6개월이 됐고, 실제 이 문제를 악용할 수 있는 상태이기 때문에 직접 만든 개념 증명 코드를 공개하기로 했다”고 설명했다.

 

풀러의 개념 증명 코드는 맥의 세이(Say) 소프트웨어를 실행해 컴퓨터가 “저는 현재 무해한 사용자 프로세스를 실행하고 있어요”라고 말하게 한다. 하지만 이를 악용해 악성 프로그램을 실행할 수도 있다.

 

보안업체인 시큐어맥(SecureMac)는 맥 사용자들에게 애플이 이 문제를 수정할 때까지 웹 브라우저의 자바를 비활성화할 것을 권고했다. 시큐어맥은 자사 웹 사이트를 통해 “이 취약점은 스파이웨어 감염에 주로 사용되는 드라이브 바이 다운로드 방식 공격을 수행할 수 있기 때문에 사용자는 악성 자바 애플릿을 호스팅하는 웹페이지에 방문하기만 해도 감염될 수 있다”고 설명했다.

 

애플이 언제 이 버그를 패치할 것인지에 대해서는 알려진 바가 없다. 애플의 대변인은 “이 문제를 알고 있으며, 수정하기 위한 작업을 진행하고 있다”고만 밝혔다. 애플의 맥 OS용 최신 보안 업데이트는 지난 주에 발표됐다.  robert_mcmillan@idg.com

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.