퀵 룩, 빠른 미리보기 가능하게 해주는 맥OS의 정상 기능
특정 폴더에 미리보기 썸네일 저장해...디스크 암호화도 소용없어

[보안뉴스 문가용 기자] 맥OS에 있는 퀵 룩(Quick Look) 기능의 메커니즘에서 파일이 유출될 수 있는 치명적인 결함이 발견됐다. 파일이 암호화 처리된 드라이브에 있거나 심지어 삭제되더라도 내용을 바깥으로 유출시킬 수 있게 해주는 것이라고 한다.


먼저 ‘퀵 룩’ 기능은, 파인더(Finder)나 메일(Mail)과 같은 앱을 통해 구현되는 것으로 키노트(Keynote)나 넘버스(Numbers), 페이지스(Pages), PDF 문서 등의 썸네일 이미지를 사용자에게 미리 보여주는 것이다.

이 기능을 구현하기 위해 퀵 룩은 com.apple.quicklook.ThumbnailsAgent XPC 서비스를 시스템에 등록하고 /var/folders/.../C/com.apple.QuickLook.thumbnailcache/ 디렉토리에 썸네일 데이터베이스를 저장한다.

그런데 보안 연구원 보이치에흐 레굴라(Wojciech Regula)에 의하면 “퀵 룩은 호환이 되는 모든 파일의 썸네일을 평범한 폴더에 저장한다”고 한다. 즉 민감한 내용의 파일이라 하더라도 그 썸네일이 아무나 접근 가능한 폴더에 보관된다는 것이다. 암호화된 HFS나 APFS 드라이브에 보관된 파일이라도 마찬가지다.

그래서 com.apple.QuickLook.thumbnailcache/ 디렉토리에는 각종 미리보기 썸네일과 메타데이터, 사진 등의 경로 정보가 가득히 들어 있다. “게다가 사용자가 선택한 파일들의 정보만 저장되는 게 아닙니다. 사용자가 접근을 한 폴더에 있는 모든 파일에 대한 썸네일이며 각종 메타데이터가 저장되는 겁니다.”

레굴라는 이 취약점을 보다 명확히 설명하기 위해 베라크립트(VeraCrypt)라는 콘테이너를 만들고 마운트시켰다. 그리고 해당 콘테이너에 한 장의 사진을 저장했다. 그런 후에 스페이스를 눌러 퀵 룩에도 저장시켰다. 그 다음으로 맥OS의 암호화된 HFS 및 APFS 드라이브에 두 번째 사진을 복사했다.

“총 두 개의 이미지를 저장한 것이죠. 하나는 마운트 된 콘테이너에, 또 다른 하나는 암호화된 드라이버에 말입니다. 그런데 com.apple.QuickLook.thumbnailcache/ 디렉토리에 들어가면 이 두 가지 이미지에 대한 전체 경로와 썸네일이 있는 걸 발견할 수 있었습니다. 여기에 저는 스크립트를 하나 작성해 thumbnails.data 파일을 추출하는 데 성공했습니다.”

레굴라는 “이는 이미 포렌식 전문가들 사이에서 널리 알려진 기술”이라고 말한다. “하지만 저는 이러한 사실을 전혀 몰랐고, 그래서 깜짝 놀랐습니다. 특히 암호화된 콘테이너 및 드라이브에 있는 파일들도 미리보기가 저장된다는 게 충격적이었습니다. 맥OS 환경에서 사진을 열람할 때나 저장할 때 염두에 두어야 할 사안인 듯 합니다.”

또 다른 보안 전문가 패트릭 워들(Patrick Wardle)은 “이러한 원리가 적용되는 곳이 꽤나 많다”고 설명을 추가한다. “비밀번호로 보호된 AFPS 콘테이너를 예로 들어보면, 이 콘테이너 안에서 파일을 하나 만든 후 사용자가 파일을 사용자 인터페이스를 통해 열람했을 때 썸네일이 어딘가 저장됩니다. 이런 식으로 프로그램을 만드는 개발자들도 많을 거라고 생각합니다.”

그렇다면 위 레굴라의 실험에서 베라크립트 콘테이너의 마운트 상태를 해제시켰을 때는 어떨까? “썸네일 파일이 계속해서 임시 폴더에 남아있는 걸 발견했습니다. 즉 마운트가 되어 있지 않아도 추출이 가능하다는 겁니다. 미리보기 썸네일의 용량에 따라 이는 커다란 위험 요소가 될 수 있습니다.”

그래도 다행인 건 퀵 룩을 통해 저장된 파일들을 삭제할 수 있다는 것이다. “콘테이너를 언마운트 할 때 qlmanage라는 유틸리티를 사용하면 썸네일 제거가 가능합니다. 명령어는 ‘qlmanage –r cache’입니다. 시스템 리부트를 할 필요도 없이 캐시된 것들을 제거해줍니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>