| 맥OS 취약점, 비밀번호 없이 루트 로그인 가능 | 2017.11.30 |
물리적인 접근 가능 시 비밀번호 없이 루트 로그인 가능
“단 몇 분이라도 기기 방치한 채 자리 비우면 침해 위험” [보안뉴스 오다인 기자] 애플의 맥OS(MacOS) 하이 시에라(High Sierra)에서 치명적인 취약점이 발견됐다. 이 취약점은 비밀번호를 입력하지 않고도 루트 계정(root account) 로그인이 가능하게 만들기 때문에 맥 이용자와 관리자들의 각별한 주의가 필요하다.  [이미지=iclickart] 소프트웨어 엔지니어 레미 오르한 에르긴(Lemi Orhan Ergin)은 28일 트위터를 통해 기기에 물리적으로 접근한 사람이 시스템 환경 설정(System Preferences) 내 화면 잠금 해제의 비밀번호 입력란을 비워둔 채로 ‘루트(root)’ 로그인을 할 수 있는 취약점을 발견했다고 밝혔다. 보안 업체 피델리스 사이버시큐리티(Fidelis Cybersecurity)의 위협 연구 관리자인 존 밤베넥(John Bambenek)은 이용자들이 기기를 쓰다가 자리를 비우는 일이 더러 발생하는 기업 환경에서 이 취약점이 특히 더 골치 아픈 문제가 될 것이라고 분석했다. “회사 밖에서 일할 때를 생각해 봅시다. 대부분의 사람들이 노트북을 사용해서 일하는데, 사용하지 않을 때는 가방 안에 넣어두죠. 회사 안에서는 어떻습니까? 그냥 사무실 책상 위에 물건들을 방치해두지 않나요? 같은 공간에 있는 사람이라면 쉽게 로컬 관리자 계정을 활성화할 수 있고, 이를 통해 기기의 로컬 접근 제어를 우회할 수도 있을 것입니다.” 보안 업체 바로니스(Varonis)의 보안 엔지니어 마이크 벅비(Mike Buckbee)는 기기에 대한 물리적인 접근이 여전히 기기 보안의 최대 위협 중 하나로 남아 있다는 사실을 이 취약점 발견을 통해 알 수 있다고 지적했다. “기기가 단 몇 분이라도 엉뚱한 사람의 손에 들어간다면, 그 기기가 침해당할 위험은 매우 높습니다.” 밤베넥은 이 취약점이 노트북 도둑들에게 유용하게 활용될 수 있으며, 아직까지 실제 피해 사례가 드러나진 않았으나 피싱 공격에 불을 지피게 될 것으로 보인다고 말했다. “공격자들은 이 취약점을 이용한 익스플로잇을 만들어 피싱 이메일이나 브라우저 기반의 미끼에 슬쩍 끼워둘 수 있죠. 이 취약점을 실제로, 그리고 완전히 가동 가능한 상태로 만든 공격자가 아직까지는 없을 것이라고 생각하지만, 현재 진행 중일 수 있으니 이용자들은 보안에 특히 더 주의를 기울여야 합니다. 이상한 링크나 첨부파일 같은 걸 클릭하는 사람들은 아직까지 있습니다. 맥 이용자들 중에도 제대로 된 보안 감각을 갖고 있는 사람은 잘 없어요.” 앞서 보고된 바에 따르면, 이번 문제는 운영체제가 특정 오류 조건을 제대로 처리하지 않았기 때문에 발생한 것으로 추정된다. 밤베넥은 이 같은 추정이 사실이라면 애플이 아주 빠르게 이 취약점을 패치해야 할 것으로 보인다고 경고했다. 중간 단계로, 애플은 이용자들이 이 문제에 대처하고 위협을 감소시킬 수 있도록 돕는 안내서를 제작했다. 추후 패치가 적용되고 나면, 어떤 기기가 루트 계정을 침해당했는지 파악하는 일도 따라야 할 것으로 보인다. 밤베넥은 “코드 수정은 꽤 간단한 일이지만 사후 보안(cleanup) 처리야말로 진짜 어렵다”고 말했다. “침해된 계정이 발견된다면, 해당 기기들에 대해서 무슨 조치를 취할 것인지 고민해야 합니다. 그런데 누군가 루트 비밀번호를 타당하게 설정해뒀을 수도 있기 때문에 마냥 비밀번호들을 초기화해버릴 수도 없죠.” [국제부 오다인 기자(boan2@boannews.com)] Copyrighted 2015. UBM-Tech. 117153:0515BC |
|
 |
