게이트키퍼 해킹 취약점으로 해커가 맥에 악성코드를 몰래 설치할 수 있음

해커가 새로운 취약점을 이용해 맥의 악성코드 게이트키퍼 도구를 악용하고 악성 앱을 설치할 수 있음

2012년, 애플은 맥 OS X 데스크탑 운영 체제에 보안의 추가 계층으로 게이트키퍼를 도입했습니다. 이 기능은 가장 고급 사용자조차도 컴퓨터에 악성 소프트웨어를 우연히 설치하는 것을 방지하기 위해 설계되었습니다. 게이트키퍼는 맥에 설치되는 애플리케이션의 디지털 인증서를 확인하여 승인된 개발자가 서명했거나 다운로드가 애플 앱 스토어에서 직접 이루어졌는지 확인합니다.

그러나 게이트키퍼가 해커가 유명한 맥 보안을 완전히 우회하여 맥에 악성코드를 몰래 설치할 수 있도록 허용한다는 사실이 발견되었습니다. 특별히 제작된 취약점을 사용하여 사이버 공격자는 앱 스토어에서 다운로드된 것만 열 수 있도록 구성된 악성 맥 앱을 열 수 있습니다.

이 취약점은 보안 회사인 시낵의 연구 책임자인 패트릭 워들에 의해 발견되었습니다. 워들은 이 취약점이 공격자가 애플이 이미 신뢰하는 바이너리 파일을 사용하여 악성 파일을 실행할 수 있도록 하는 게이트키퍼의 주요 설계 결함 덕분에 가능하다는 것을 발견했습니다.

워들은 애플에 의해 이미 서명된 널리 사용 가능한 바이너리를 발견했으며, 이를 실행하면 동일한 폴더에 위치한 별도의 앱이 실행됩니다. 보안 문제로 인해 파일의 이름은 공개되지 않았습니다. 따라서 이를 바이너리 1과 바이너리 2라고 부르겠습니다.

게이트키퍼 해킹 취약점이 하는 일은 간단합니다. 바이너리 1의 이름을 바꾸고 이를 애플 디스크 이미지 안에 패키징합니다. 이름이 바뀐 바이너리 1은 이미 애플에 의해 서명되었기 때문에 게이트키퍼에 의해 즉시 승인되고 OS X에 의해 실행됩니다.

코어 OS에 접근한 후, 바이너리 1은 동일한 폴더에 위치한 바이너리 2를 검색합니다. 이 경우 다운로드된 디스크 이미지입니다. 게이트키퍼가 최종 사용자가 클릭한 원본 파일만 확인하기 때문에, 워들의 취약점은 합법적인 바이너리 2를 악성 파일로 바꾸고 동일한 파일 이름으로 동일한 디스크 이미지에 묶습니다. 바이너리 2는 실행을 위해 디지털 인증서가 필요하지 않기 때문에 공격자가 원하는 모든 것을 설치할 수 있습니다.

유사한 방법은 플러그인(예: 포토샵 애드온)에도 적용되어 게이트키퍼를 우회할 수 있습니다: 플러그인을 로드하는 앱을 찾아서 해당 플러그인 중 하나를 악성코드로 대체하면 게이트키퍼는 다시 주목하지 않습니다.

이러한 패키지 파일은 비밀번호 로거, 오디오 및 비디오를 캡처할 수 있는 앱, 봇넷 소프트웨어 등 다양한 유형의 악성코드를 설치할 수 있습니다.

게이트키퍼 해킹 취약점은 엘 캐피탄 및 요세미티를 포함한 모든 맥 OS X 버전에서 작동합니다. 워들은 엘 캐피탄의 베타 버전에서 자신의 취약점을 성공적으로 테스트할 수 있었다고 밝혔습니다.

보안 및 개인 정보 보호에 대해 패트릭 워들은 다음과 같은 좋은 점을 지적했습니다:

“내가 이를 찾을 수 있다면, 해커 그룹이나 더 정교한 국가들이 유사한 약점을 발견했을 것이라고 가정해야 합니다. 게이트키퍼를 우회하는 데 악용될 수 있는 다른 애플 서명 앱이 분명히 있을 것입니다.”

워들은 이 취약점이 60일 전에 보고되었으며, 목요일 프라하에서 열리는 바이러스 불리틴 국제 회의에서 자신의 발견을 발표할 계획이라고 밝혔습니다. 한편, 애플은 이 결함을 인지하고 있으며 근본 원인을 수정하기 위한 패치를 작업 중입니다. 패치가 언제 도착할지는 불확실하지만, 그때까지의 유일한 조언은 신뢰할 수 있는 출처에서만 앱을 받는 것입니다.