요약 : 보안 외신 해커뉴스에 의하면 맥OS와 iOS용 애플리케이션 생태계에서 꽤나 중요한 역할을 담당하고 있는 솔루션인 코코아팟즈(CocoaPods)에서 위험한 취약점들이 여러 개 발견됐다고 한다. 이 취약점들을 통해 공격자들은 무엇보다 소프트웨어 공급망 공격을 실시함으로써 여러 애플리케이션들을 통해 악성 코드를 주입할 수 있게 된다고 한다. 취약점들 중 가장 심각한 건 CVE-2024-38366으로, CVSS 기준 10점을 받았을 정도로 위험하다. 임의 코드 실행 공격을 할 수 있게 해 준다. 그 다음으로 위험한 건 CVE-2024-38368로, CVSS 기준 9.3점을 받았다고 한다. 소스코드를 조작할 수 있게 해 준다.


배경 : 코코아팟즈는 애플리케이션들의 디펜던시를 관리할 수 있게 해 주는 플랫폼으로, 스위프트(Swift)와 오브젝티브씨 코코아(Objective-C Cocoa) 기반 프로젝트들을 편리하고 효과적으로 점검할 수 있게 해 준다. 이 때문에 사용자들이 광범위하며, 따라서 이번 사건의 파급력 또한 넓을 것으로 예상되고 있다.

말말말 : “코코아팟즈에서는 2023년 3월에도 문제가 발견된 바 있습니다. 디펜던시를 관리해주는 플랫폼이기 때문에 여기서 발생한 문제는 대부분 공급망 공격으로 귀결되기도 합니다. 따라서 각별한 주의와 관리가 요구됩니다.” -해커뉴스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>