상세 컨텐츠

본문 제목

애플 Mac OS X, Gatekeeper 때문에 멀웨어 공격에 노출돼

국내외 보안동향

by 알약(Alyac) 2016. 1. 19. 10:20

본문

애플 Mac OS X, Gatekeeper 때문에 멀웨어 공격에 노출돼

Apple's Mac OS X Still Open to Malware, Thanks Gatekeeper


애플의 맥 컴퓨터는 윈도우를 사용하는 컴퓨터보아 상대적으로 멀웨어부터 안전한 것으로 알려져있습니다. 하지만 최근 보안연구원들은 이 사실이 틀렸다고 말할 수 있는 새로운 익스플로잇을 발견하였습니다. 


Gatekeeper는 2012년 7월 출시 된 애플의 안티 멀웨어 기능으로써, 맥 OS X 시스템을 멀웨어로부터 보호하기 위하여 신뢰할 수 없는 앱 실행을 차단하도록 설계되어 있습니다. 하지만 해커들은 Gatekeeper가 가장 높은 보안 상태로 설정되어 있는 경우에도 맥 컴퓨터에 악성 SW를 설치할 수 있었습니다. 


NSA의 전 직원이자 Synack의 보안 연구원인 Patrick Wardel은 완전히 패치된 OS X 10.11.2 시스템에서도 Gatekeeper을 쉽게 우회할 수 있다고 말했습니다


2015년 9월, Wardel은 OS X 머신에서 Gatekeeper가 앱 설치를 허용하기 전에 아래의 사항들을 체크한다는 것을 확인하였습니다. 


- 다운로드 된 앱의 초기 디지털 인증서 확인

- 앱이 애플이 인정하는 개발자 인증서로 서명되었는지 확인

- 앱이 공식 앱스토어로부터 다운로드 된 것인지 확인


하지만 GateKeeper는 이 앱이 OS X가 이미 신뢰하는지 여부 및 동일한 폴더에서 다른 파일들을 불러오는지 여부는 확인하지 않았습니다. 이에 관련하여 애플은 근본적인 문제를 해결하지 않고, '보안패치'를 진행하여 단순히 Gatekeeper를 우회하는데 사용된 앱들을 차단하는 수준에서 문제를 해결하였습니다. 


이는 추후 발생할 수 있는 공격들을 효과적으로 예방하지 못하였습니다. 


Wardle은 이번에도 동일한 공격을 실행할 수 있는 애플 서명 파일을 발견하였는데, 이는 유명한 안티바이러스 회사인 카스퍼스키가 제공한 파일이었습니다. 


Wardle이 한 일은 아래와 같습니다.


- 동일한 폴더에 위치하는 별도의 앱 (Binary B)를 실행하는, 이미 서명 된 바이너리 파일(Binary A) 준비

- Binary A의 이름 변경

- 정상 Binary B를 악성 파일로 변경

- 이로써 동일한 폴더 내에서 동일한 파일 이름으로 악성파일인 Binary B가 생성 됨


이 과정을 거친 후에는 Binary B는 디지털 인증서나 애플 개발자 인증서 실행이 더 이상 필요 없게 되어 Gatekeeper을 우회하여 공격자가 원하는 어떤것도 설치할 수 있게 됩니다. 


Wardle은 애플에 이러한 사실을 제보하였으나, 애플은 또한번 해당 파일들을 차단하는 '보안패치' 업데이트만을 제공하였습니다. 


이에 Wardle은 모든 실행파일들을 체크하여 신뢰할 수 없거나 웹에서 받은 서명되지 않은 코드 등을 블록해주는 무료 툴인 Ostiarius를 공개하였습니다. 



출처 : 

http://thehackernews.com/2016/01/mac-os-x-gatekeeper-hack.html


관련글 더보기

댓글 영역