• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

맥킨토시 컴퓨터, 박스에서 열자마자 공격자의 것 된다 2018.08.13

MDM을 통한 앱 설치 과정에 공격자들이 개입하면서 시스템 장악
애플은 패치 배포해...MDM 벤더들이 적용하는 것만 남은 상태

[보안뉴스 문가용 기자] 회사가 기업용으로 장만한 새 맥킨토시 컴퓨터들이 고급 해커들에게 공략당할 수 있다는 사실이 밝혀졌다. 그것도 박스에서 막 나와서 처음 부팅을 하는 순간부터 말이다. 여기에 관계되어 있는 건 애플의 모바일 기기 관리(MDM) 프로토콜이다.

[이미지 = iclickart]


MDM은 시스템 관리자들이 관리용 명령을 맥OS와 iOS 장비들에 전송할 수 있도록 설계된 것으로, 이 명령들에는 애플리케이션 설치 및 제거는 물론 기업 정책과의 컴플라이언스 모니터링, 장비의 잠금 및 해제가 포함되어 있다.

MDM이 장비를 등록시키면, MDM은 해당 장비로 설정 프로파일(Configuration Profile)을 보낸다. 이는 수동으로 설치도 되지만 장비 등록 프로그램(Device Enrollment Program)을 통한 자동설치도 가능하다. 장비 등록 프로그램을 맥OS에서 사용할 경우 장비는 최초 설치 과정에서 MDM 서버와 자동으로 통신한다. 혹은 시스템이 공장 초기화가 된 경우, MDM을 통해 OS가 다시 설치되기도 한다.

이 과정에서 장비가 MDM으로부터 받은 ‘장비 등록 프로그램’ 파일에는 MDM 서버 URL, 해당 장비에 사용되는 인증서, 설치 과정 중에 넘어가도 되는 화면 등의 정보가 포함된다. 최초 설치 과정에서 가장 많이 사용되는 MDM 명령으로는 InstallApplication이 있다. 관리자가 특정 애플리케이션 패키지를 설치할 수 있도록 해준다. 이 명령은 앱 설치에 필요한 모든 정보가 담겨 있는 XML 파일을 돌려주는 URL에 의존한다.

맥OS 관리 기업인 플리트스미스(Fleetsmith)의 CPO이자 CSO인 제스 엔달(Jesse Endahl)과 드롭박스(Dropbox)의 스태프 엔지니어인 맥스 벨란저(Max Belanger)는 지난 주에 개막한 블랙햇에서 이 과정을 공격자들이 어떤 식으로 악용할 수 있는지를 시연했다. 설치 파일 XML의 출처가 되는 URL을 오염시켜 앱 설치 과정을 조작하는 것이 이 기법의 핵심이다.

이 공격은 일종의 중간자 공격이다. 실력이 어중간해서는 시도하기가 힘든 기법이라고 엔달과 벨란저는 입을 모은다. 즉 ‘수준이 높은 공격자들만 할 수 있는 방법’이라는 것인데, 이는 곧 국가의 후원을 받는 해킹 부대를 말한다. 높은 수준에 이른 공격자들이 조직을 표적으로 삼아 최초 부팅 과정에서부터 공격을 실시함으로써 은밀한 침투가 가능하다는 것.

두 전문가는 “공격자들이 이 기법을 이용할 경우 맥 컴퓨터를 완전히 자기 것처럼 통제할 수 있게 된다”고 말한다. “맥 주인 입장에서는 박스를 분명히 자기 손으로 풀었는데, 그때부터 컴퓨터가 남의 수중에 넘어가게 되는 것입니다.”

이러한 위험성에 대해 두 전문가는 이미 지난 4월 애플에 알렸다. 애플이 이를 인지한 건 5월 2일의 일이었다. 그리고 픽스 발표는 7월 9일에 있었다. 맥OS 10.13.6 버전의 발표와 함께였다.

애플의 해결법은 간단했다. InstallEnterpriseApplication이라는 새로운 명령어를 MDM에 포함시킨 것이다. 이 명령은 MDM 벤더들이 앱 설치 관련 URL에 관한 요청에 맞는, 고유 인증서가 제공되도록 조정한다.

“사실 이게 해결법이라고는 하지만, 결국 MDM 벤더들이 이 새 명령어를 포함시키느냐에 달려 있습니다. 해결법이 불완전하다는 게 아니라, 이걸 완성시키는 건 벤더들의 몫이라는 겁니다. 사용자들은 이 사실을 벤더에 직접 확인 요청함으로써 압박을 넣을 수 있습니다.”

이들이 블랙햇에서 발표한 내용의 근간이 되는 백서는 여기(http://i.blackhat.com/us-18/Thu-August-9/us-18-Endahl-A-Deep-Dive-Into-macOS-MDM-And-How-It-Can-Be-Compromised-wp.pdf)서 열람 및 다운로드가 가능하다.

3줄 요약
1. 맥킨토시 컴퓨터, 켜자마자 장악할 수 있는 공격법 나옴.
2. MDM을 통한 OS 및 앱 설치 과정에 공격자들이 미리 손을 쓰는 방법.
3. 애플은 패치 배포했고, MDM 벤더들이 적용하느냐가 관건.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>