아이폰과 아이패드, 아이맥과 맥북 등의 장비에서 나타날 수 있는 위험한 취약점들이 발견됐다. 문제의 근원은 NSPredicate라는 클래스인데, 이게 말이 클래스지 사실 하나의 스크립팅 언어 정도와 완성도를 가지고 있다고 한다. 그래서 문제가 되고 있다.

[보안뉴스 문가용 기자] 애플의 iOS와 iPadOS, 맥OS에서 새로운 유형의 취약점들이 발견됐다. 익스플로잇에 성공할 경우 공격자는 권한을 상승시키고 피해자 장비에서 모든 디지털 자산을 가지고 도망갈 수 있게 된다고 한다. 보안 업체 트렐릭스(Trellix)의 연구원 오스틴 에밋(Austin Emmitt)은 2월 21일자 블로그 게시글을 통해 “여러 플랫폼의 애플리케이션 컨텍스트에서 임의 코드 실행으로 이어지는 코드 서명 우회 취약점”이라고 설명했다.


공격자들은 이번에 발견된 취약점들을 통해 피해자의 아이폰이나 아이패드, 아이맥에 저장된 사진, 메시지, 통화 이력, 위치 정보 등을 마음껏 열람하고 가져갈 수 있게 된다고 하며, 장비의 마이크로폰과 카메라도 제어할 수 있게 된다고 한다. 뿐만 아니라 장비를 완전히 삭제하는 것도 가능하다. 중위험군과 고위험군이 고루 존재하며, 애플은 이 취약점들을 크게 두 가지 CVE 번호로 묶어 두었다. 하나는 CVE-2023-23530이고, 다른 하나는 CVE-2023-23531이다. 아직 실제 해킹 공격에 연루됐다는 소식은 없다.

새로운 사이버 공격 기법
이번에 발견된 취약점들은 NSPredicate라는 클래스와 관련이 깊은 것으로 분석됐다. NSPredicate는 앱 개발자들이 장비 내 객체들의 목록들을 필터링하는 데 사용하는 클래스다. 에밋은 “NSPredicate가 꽤나 단순하게 보이긴 하지만, 사실은 하나의 스크립팅 언어로 봐도 무방할 정도의 깊이를 가지고 있습니다. 즉 원래부터 NSPredicate를 통해 코드를 생성하고 실행시키는 게 항상 가능했다는 뜻입니다.”

트렐릭스는 개념 증명을 위해 아이폰의 NSPredicate를 활용하여 루트 레벨 프로세스에서 코드를 실행시키는 데 성공했다. 그리고 이를 통해 장비의 캘린더나 주소록, 사진 등에 접근할 수도 있었다고 한다. 아이패드에서는 UIKitCore라는 프레임워크에서 이 NSPredicate 관련 취약점을 찾아내 익스플로잇 할 수 있었다. “아이패드의 홈 스크린을 관리하는 앱인 스프링보드(SpringBoard) 내에서 코드를 실행할 수 있었습니다. 스프링보드에 침투한다면 사용자가 저장하는 모든 데이터에 접근하고 장비 내 모든 것을 삭제할 수도 있게 됩니다.”

하지만 이 취약점 공략 방법이 최초 침투를 가능하게 하는 것은 아니다. 즉 위의 취약점들을 익스플로잇 해서 트렐릭스가 선보인 공격을 성공시키려면 공격자가 미리 아이폰, 아이패드, 맥북이나 아이맥의 침투 기법을 별도로 알아내 선행해야 한다. "하지만 최초 침투가 요즘 공격자들에게 그리 어려운 건 아닙니다. 피싱 공격이나 소셜엔지니어링을 통해 비교적 간단히 성공시킬 수 있게 되죠. 심지어 최초 접근만 해결해 주는 전문가들도 다크웹에 상주해 있고요.”

패치로 끝나는 건 아니다
애플은 사용자들에게 “시스템 소프트웨어를 업데이트 하라”고 권고하고 있다. 최신 iOS, iPadOS, macOS에는 위의 취약점들이 하나도 남아 있지 않기 때문이다. 하지만 업데이트만으로 문제가 다 해결되는 건 아니다. “NSPredicate는 2019년부터 보안 전문가들 사이에 알려져 있던 위험 요소입니다. 2021년에는 NSO그룹(NSO Group)이 실제 익스플로잇을 진행해 사우디아라비아의 운동가들을 염탐하기도 했었죠. 애플은 NSPredicate라는 구멍을 어떻게든 막아보려 하고 있습니다만, 이렇게 또 뭔가가 불거져 나오는 것을 보니 완전히 해결하지는 못한 것으로 보입니다.”

트렐릭스의 취약점 연구 국장인 더그 맥키(Doug McKee)는 “버그의 한 유형을 통째로 없앤다는 건 대단히 어려운 일”이라고 말한다. “코드만 변경해야 할 것이 아니라 개발자들을 대상으로 한 지속적인 교육까지도 병행해야 하거든요. 이번에 발견된 NSPredicate 취약점들도 단 기간 내에 없어지지는 않을 것으로 예상됩니다. 비슷한 취약점들이 앞으로도 계속해서 나올 가능성이 높다는 뜻입니다.”

애플의 뛰어난 보안성?
이번 취약점의 발견은 “애플 장비들은 PC나 안드로이드 장비들보다 보안성이 높다”는 일반적인 선입견을 반박하는 사례가 될 수 있다. “애플은 최초의 아이폰부터 소프트웨어의 사용에 있어 많은 제한을 뒀습니다. 이 때문에 사이버 공격을 실시하는 데 있어 제약이 있을 수밖에 없었습니다. 물론 사용자들 역시 자유롭지 못하게 장비를 사용하고 있긴 하지만요.” 에밋의 설명이다.

이 ‘제한’에는 소프트웨어 설치도 포함되어 있다. 아무 소프트웨어나 애플 장비에 설치될 수 없다. 애플은 제한 조치를 유지하기 위해 코드 서명이라는 기술을 적극 활용한다. 코드 서명은 일종의 문지기 역할을 하는 것으로, 서명이 있는 것만 장비 내에 설치될 수 있다. 애플은 이 서명을 신뢰할 만한 개발사에만 제공한다. 생태계 전체를 꽤나 삼엄하게 관리한다고도 볼 수 있다. 그래서 애플은 보안에 꽤나 많은 공을 들인다는 이미지가 시장에 서서히 자리 잡혔다.

보안 업체 시큐리티저니(Security Journey)의 수석 애플리케이션 책임자인 마이크 머크(Mike Burch)는 “애플의 장비가 튼튼하다는 건 일종의 잘못된 인식”이라고 말한다. “애플이 보안을 간과하지 않는 기업이라는 건 맞습니다. 어떤 면에서는 다른 OS 기반 장비들보다 애플 장비들이 나은 점이 있기도 합니다. 하지만 ‘애플은 보안이 철저하다’라는 인식을 일반 대중들이 글자 그대로 받아들인다는 것은 우려스러운 일입니다. 왜냐하면 애플 장비들도 얼마든지 공격이 가능한데 사용자들이 안심하게 되거든요. 안심하면 보안 조치를 취하지 않게 되고, 각종 실천 사항도 어기게 됩니다. 그러면서 균열이 가기 시작하죠.”

3줄 요약
1. 애플의 생태계에서 새로운 유형의 취약점들이 다수 발견됨.
2. 문제의 근원은 NSPredicate라는 요소에서부터 나오는 것이라 간단히 해결되지 않음.
3. 일단은 최신 iOS, iPadOS, macOS로 업데이트 하는 것부터 필요.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>