• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

WWDC 2019 직전, 맥OS에서 가짜 클릭 생성하는 취약점 발견돼 2019.06.04

TCC 시스템 통해 ‘신뢰 획득한 앱’으로부터 가짜 클릭 생성 가능해
클릭 생성하면 보안 경고창에서 OK 버튼 눌러 무사 통과 가능

[보안뉴스 문가용 기자] ‘가짜 클릭’을 통해 애플이 지난 해부터 맥OS에 도입한 보안 및 프라이버시 보호 기능을 회피할 수 있다는 연구 결과가 발표됐다. 이 연구를 진행한 건 보안 업체 디지타 시큐리티(Digita Security)의 수석 연구원인 패트릭 워들(Patrick Wardle)로, 발표 시기와 애플의 WWDC 2019가 시작되는 시기가 묘하게 맞물렸다.

[이미지 = iclickart]


워들이 연구로 뚫어낸 보안 기능은 애플이 지난 해 WWDC를 통해 발표한 것으로, 애플리케이션이 카메라, 마이크로폰, 이벤트, 연락처, 위치, 사진, 백업, 사파리 데이터, 히스토리, 이메일 데이터베이스 등에 대한 접근 권한을 요구하거나, 관리자 권한 및 원격 제어 권한을 요구할 때마다 사용자에게 경고 메시지를 띄우도록 한 것이다.

주말 동안 워들은 디지타 시큐리티가 연 보안 컨퍼런스에서 “코드 서명과 관련해 미묘한 문제를 맥OS에서 발견했다”고 발표했다. 이를 통해 “일반적으로 OS에서 허용되지 않는 ‘가짜 클릭 생성’이 가능해지며, WWDC 2018에서 발표된 맥OS의 보안 기능을 무력화시킬 수 있다”고 설명했다. “맥OS의 새로운 보안 기능은, 결국 사용자에게 경고 메시지를 띄우는 것입니다. 가짜 클릭을 생성해 OK 버튼을 누르면, 이 장치를 손쉽게 회피할 수 있게 됩니다.”

그러나 사용자가 화면을 보고 있다면 이 공격은 너무 쉽게 의심을 사지 않을까? 워들은 “당연히 그렇지만, 보통 공격자라면 사용자가 화면을 슬립 모드로 전환했을 때 공격을 시도하거나, 화면 밝기를 낮추는 조작을 시도한 뒤 가짜 클릭을 실시할 것”이라고 말했다. 그러면서 “이 공격 기법은 2단계에서 가장 효율적으로 통한다”고 덧붙였다. 즉, 최초 침투가 전제되어야 가능한 공격이라는 것이다.

공격 자체는 ‘투명성 동의와 제어(Transparency Consent and Control, TCC)’ 시스템을 기반으로 하고 있다. TCC는 프라이버시 제어 옵션 관련 데이터베이스를 관리하는 시스템으로, 특히 어떤 애플리케이션이 어떤 요소에 접근할 수 있는지에 관한 정보와, AllowApplicationList.plist라는 파일에 저장된 호환성 데이터베이스가 요주의 요소들이다. 이 둘은 화이트리스트처럼 작용하며, 따라서 특정 시그니처를 가진 앱들이 통과를 하도록 해주거나 막는 역할을 한다.

“공격자는 이 화이트리스트에서 아무 애플리케이션이나 선택하고, 악성 요소를 주입시킨 후 실행해 가짜 클릭을 생성할 수 있습니다. 애플은 이 조작 행위를 감지할 수 없는데요, 그건 코드 인증 확인 절차에 약간의 문제가 있기 때문입니다.” 워들의 설명이다. “공격자 입장에서는 이렇게 조작된 앱을 다운로드 받아 실행시키는 방법을 사용할 수도 있습니다. 화이트리스트 처리된 앱들과 관련된 가짜 클릭에 대해서 시스템은 아무런 반응을 하지 않습니다. 화이트리스트 처리가 되었기 때문이죠.”

예를 들어 공격자가 인기 높은 앱 중 하나인 VLC 미디어 플레이어를 표적으로 삼았을 경우, “악성 플러그인을 기존 VLC 미디어 플레이어에 추가하기만 하면 가짜 클릭을 생성할 수 있다는 것”이다. 하지만 아직 패치가 나오지 않았기 때문에 더 상세한 설명은 하지 않았다.

워들은 이런 식으로 가짜 클릭을 만들 수 있게 해주는 취약점들을 맥OS에서 계속해서 찾아내오고 있다. 그 중 하나는 작년 여름 세계적인 보안 행사였던 데프콘에서 공개했다. “애플이 꾸준하게 이런 부분들을 패치하고 있긴 합니다만, 불완전한 업데이트가 많았습니다. 아마 근본적으로 가짜 클릭 생성을 차단하는 게 뭔가 어려운 모양입니다.”

워들은 이번에 찾아낸 문제를 약 1주일 전에 애플에 보고했다. 애플은 문제를 확인했다는 답장을 보냈다. 하지만 패치 개발 계획이나 예상 날짜에 대해서는 아무런 언급을 하지 않았다고 한다. “하지만 여태까지의 전적으로 봐 패치를 할 것은 거의 확실합니다. 다만 여태까지 그랬던 것처럼 다른 클릭 생성 유발 취약점이 또 나타날 것이 우려됩니다.”

3줄 요약
1. 애플의 맥OS에서 가짜 클릭을 생성할 수 있게 해주는 취약점 발견됨.
2. TCC 시스템을 통해 화이트리스트 처리된 앱들을 통해 클릭을 생성하면 시스템이 파악하지 못함.
3. 이 가짜 클릭으로 각종 보안 경고 창을 해제시킬 수 있게 됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>