연구원이 애플의 게이트키퍼에서 결함 발견

연구원은 애플의 최신 보안 패치가 게이트키퍼를 우회할 수 있다고 말합니다

애플은 OS X 10.8 마운틴 라이온에서 게이트키퍼를 도입했으며, 이는 악성 소프트웨어가 맥 컴퓨터에서 혼란을 일으키는 것을 막기 위해 OS X 10.7.5 라이온에도 통합되었습니다. 그러나 작년 9월 말, 한 연구원이 게이트키퍼를 매우 쉽게 우회할 수 있는 방법을 발견했다는 보고가 있었습니다.

패트릭 워들(Patrick Wardle)이라는 회사 시낵(Synack)의 연구 책임자는 인터뷰에서 애플이 10월에 발표한 패치를 리버스 엔지니어링하여 게이트키퍼의 수정이 완벽하지 않다는 것을 발견했다고 말했습니다. 게이트키퍼는 유해한 애플리케이션이 설치되는 것을 차단하는 보안 기술입니다.

게이트키퍼가 가장 엄격한 설정으로 설정되어 있더라도, 워들은 앱 번들을 사용하여 우회할 수 있다고 공유했습니다. 게이트키퍼는 맥에서 앱이 실행되기 전에 여러 가지 검사를 수행하지만, 다른 디렉토리에서 앱이나 동적 라이브러리를 실행하거나 로드하는 것을 방지하지는 않습니다. 이는 게이트키퍼가 사용자가 처음 실행하는 애플리케이션만 검증하기 때문입니다.

보안 프로그램의 주요 목표는 애플리케이션의 디지털 서명을 확인하는 것입니다. 애플리케이션이 애플의 디지털 서명을 가지고 있다면, 게이트키퍼는 사용자가 애플리케이션을 설치하도록 허용합니다. 제3자 애플리케이션의 디지털 서명에서도 같은 일이 발생했습니다.

하지만 게이트키퍼는 신뢰할 수 없는 것처럼 보입니다. 사실, 웹에서 합법적으로 보이는 애플리케이션들 중 상당수가 악성 코드가 포함되어 있었습니다.

많은 시행착오 끝에 애플은 보안망의 어떤 침해를 수리할 수 있는 새로운 패치를 출시했습니다. 워들은 애플의 게이트키퍼에 대한 최신 추가 기능을 발견한 후 프로그램의 강도를 테스트하기로 했습니다.

그는 새로운 패치가 보안 측면에서 매우 비효율적이라고 선언했으며, 그는 단 5분 만에 이를 우회할 수 있었습니다.

2012년 이후, 내장된 악성 소프트웨어 방지 게이트키퍼 시스템은 애플의 OS X의 기능이었습니다. “문제는 게이트키퍼가 런타임 분석이나 보조 구성 요소에 대한 분석을 수행하지 않는다는 것입니다.” 여기서의 아이디어는 맥에서 악성 소프트웨어를 차단하는 것입니다: 애플이 승인한 소프트웨어 개발자만이 플랫폼에서 소프트웨어를 실행할 수 있습니다.

애플의 한 대표에 따르면, 워들이 개인적으로 보고한 새로운 파일들은 게이트키퍼를 보완하는 악성 소프트웨어 방지 기능인 XProtect를 사용하여 차단되었습니다.

아래는 패트릭 워들이 제공한 개념 증명 비디오입니다. “그러나 핵심 문제는 해결되지 않았으므로, 누군가가 악용할 수 있는 다른 앱을 발견하면 우리는 다시 원점으로 돌아갑니다.”

가장 제한적인 모드에서 애플의 게이트키퍼는 신뢰할 수 있는 OS X 애플리케이션 및 맥 앱 스토어 외부에서 얻은 모든 프로그램의 실행을 중지하도록 설계되었습니다.

워들은 애플이 취약점을 악용하는 데 사용할 수 있는 소수의 앱만 블랙리스트에 올리는 접근 방식을 비판하며, 실패의 근본 원인을 수정하지 않는다고 말했습니다. “사용자가 실행한 실행 파일인지 아니면 공격자가 서명된 코드를 악용하여 이를 시작했는지 신경 쓰지 않습니다.”

보안 컨벤션 슈무콘(ShmooCon)에서 워들은 게이트키퍼의 라틴어인 오스티아리우스(Ostiarius)라는 도구를 발표할 예정이며, 이는 애플이 처음에 게이트키퍼를 수정하기 위해 해야 했던 일을 수행한다고 말했습니다.

이 도구는 OS X의 커널에서 생성된 모든 새로운 프로세스를 모니터링합니다. 프로세스가 디지털 서명이 없고 인터넷에서 다운로드된 실행 파일에서 온 것이라면 중지됩니다.

“이것은 일종의 글로벌 접근 방식입니다.”라고 워들은 말했습니다. “사용자가 실행한 실행 파일인지 아니면 공격자가 서명된 코드를 악용하여 이를 시작했는지 신경 쓰지 않습니다.”

애플은 워들과 협력하고 있으며 곧 또 다른 패치를 출시할 예정입니다. 워들은 사용자가 다른 버전의 앱 차단기가 출시될 때까지 애플의 온라인 스토어에서 직접 애플리케이션을 다운로드할 것을 권장합니다. 또한 사용자는 이러한 애플리케이션을 안전한/암호화된 인터넷 연결을 통해 다운로드해야 합니다.