모바일 / 보안 / 퍼스널 컴퓨팅

맥 OS X에서 최신 키체인 취약점 발견돼

Steve Ragan | CSO 2015.09.02
레바논 베이루트 소재의 신원 관리 업체에서 애플의 비밀번호 관리 시스템인 키체인(keychain)의 취약점을 발견했다. 마이키(MyKi)의 공동창립자인 앙투안 빈센브 제바라와 수석 개발자인 라자 라파니는 해당 취약점을 악용하면 공격자가 마음대로 저장된 신용 정보를 훔쳐낼 수 있다고 설명했다.

이들은 애플 제품에서 키체인이 작동하는 동안 임의로 조작된 터미널 명령이 사용자 몰래 키체인에 저장된 비밀번호를 전송한다고 밝혔다.

이 터미널 명령은 사용자의 키체인 비밀번호를 입력하라고 요구하는 대신, 버튼 클릭을 유도하는 상황을 설정한다. 사용자가 마우스를 클릭할 것으로 보이는 특정 영역에 버튼을 표시하도록 하는 명령어를 실행하는 개념증명 익스플로잇이라고 이들은 정의했다

이 과정은 200ms 내에 사용자가 인지하지 못하는 사이에 발생한다.

그는 “이 버튼의 위치에 영향을 미치는 유일한 요소는 바로 아이콘 크기다. 그래서 이 버튼을 눌러보기 위해 아이콘을 500ms 간 숨기는 명령어를 실행해봤다”고 말했다.

해당 버튼을 누르자, 가로챈 비밀번호는 SMS를 통해 해커의 휴대폰으로 전송됐다. 그러나 SMS는 데이터를 유출할 수 있는 그 어떤 전송 시스템으로도 대체돼 C&C 서버로 전송되며, 추후 데이터 유출을 위해 기기 내부에 해당 데이터를 저장해놓을 수도 있다. 이 공격을 실행하는 코드는 다시 수정할 수 있는 것으로 알려졌다.

동영상을 보면, 사용자는 공격을 인지하지 못한 채 버튼을 누를 가능성이 높은 것으로 보인다. 무해한 파일로 다시 코드를 다시 덮었으며, 적법한 명령어로 수행되기 때문이다. 악성코드 탐지 프로그램은 이 공격을 탐지하지 못할 가능성도 크다. 보안상 그 어떤 악의적인 행동도 탐지되지 않는다.

제베라는 해커들이 발견한 명령어에 대한 키체인의 작동 방식을 수정해 사용자가 비밀번호를 입력하도록 유도하는 방식으로 수정할 수 있다고 말했다. 다른 대안으로는 키체인 사용을 막는 것이다. 그러나 OS X가 키체인에 상당 부분 의존하고 있다는 점을 고려하면 거의 실현 불가능한 대안이다. 제베라는 자사 제품이 해당 취약점을 해결해줄 수 있다는 의견을 덧붙였다.


해당 취약점은 애플에 전달됐으나 애플은 이 문제에 관해 응답하지 않았다.

제베라는 후속 이메일을 통해 “우리는 이 같은 사실을 애플에 알렸다. 그것이 우리가 해야 하는 일이라고 생각했다. 이 정도 수준의 위험성을 내포한 취약점이 대재앙을 초래할 수 있다고 봤다. 애플이 패치를 제공하기 전까지는 중요한 정보를 외부에 노출할 위험을 줄이기 위해 적어도 알 수 없는 출처의 파일을 열어보지는 않으리라고 판단했다”고 말했다.

제베라는 “이 취약점은 대단히 민감한 문제다. 멀쩡하게 보이는 파일을 내려받는 것만으로도 원격에서 타인의 비밀번호를 훔칠 수 가능성을 열어두기 때문이다. 여타 다른 악성코드와 작동방식이 다르기에 악성코드 탐지기로도 발견할 수 없는 상황”이라고 덧붙였다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.