애플이 최근 발견된 셸쇼크 보안 취약점에 대해 완벽한 대응책을 내놓은 것은 아니라는 지적이 나왔다.
기존에 발견된 관련 3가지 취약점 중 2가지에 대해서만 패치가 이뤄졌고, 서비스거부(DDoS) 공격을 가능케 하는 취약점에 대해서는 조치가 이뤄지지 않았다는 것이다.
최근 미국 씨넷에 따르면 '메타스플로잇'이라는 모의해킹툴로 유명한 보안회사 래피드7 소속 그렉 와이즈먼 연구원은 셸쇼크와 관련 OS X에서 발견된 3개 취약점 중 'CVE-2014-7186'으로 분류된 취약점을 악용한 DoS 공격이 여전히 가능하다고 말했다. DoS 공격을 받은 맥은 로컬네트워크나 인터넷에 접속할 수 없다.
애플은 29일(현지시간) OS X 라이온, 마운틴 라이온, 매버릭스 버전에 대한 보안패치를 발표했다. 그러나 셸쇼크와 관련 'CVE-2014-7169', 'CVE-2014-6271'에 대한 문제만 해결했을 뿐 DoS 공격이 가능한 취약점을 악용한 공격에는 여전히 취약하다고 와이즈먼 연구원은 주장했다.
관련기사
- IT업계 놀래킨 '셸쇼크' 취약점 최신 패치법 공개2014.10.02
- 애플 "대부분 OS X 사용자, 셸쇼크 안전하다"2014.10.02
- 배시 취약점 '셸쇼크' 비상…왜 위험한가2014.10.02
- 하트블리드보다 위험한 배시 취약점 '비상'2014.10.02
앞서 애플측은 OS X에서는 기본설정 상 배시 셸 관련 취약점이 적용되지 않고, 유닉스 고급설정을 변경하는 경우에만 문제가 생길 수 있다고 발표했다. 기본설정을 쓰고 있는 한 맥에서 문제가 될 소지가 없다는 설명이다.
그러나 보안전문가가 해당 취약점을 악용한 공격이 가능하다는 점을 증명한 만큼 추가적인 보완책이 필요할 것으로 보인다. 애플은 OS X 라이온, 마운틴 라이온, 매버릭스에 대한 보안패치를 제공 중이다.
