기업이 업무용 맥OS 기기를 일괄 설정시 인터넷에 처음 연결하는 것만으로 악성코드에 감염될 위험이 있는 걸로 파악됐다. 연구자들이 기기 등록 자동화 절차상의 보안 허점을 발견했다.
애플은 이에 대응해 맥OS와 관련 프로토콜을 업데이트했지만, 외부 솔루션 업체들의 보완 조치도 필요한 상황이다.
기업은 사내 전산망에 연결할 기기를 관리하기 위해 모바일기기관리(MDM) 플랫폼을 쓴다. 애플은 기업이 이런 제품을 관리할 수 있도록 '기기등록프로그램(DEP)'을 제공하고 있다. 문제의 맥OS 보안 버그는 이 기업내 MDM과 애플 DEP가 연계되는 과정에서 악용될 수 있다.
미국 테크리퍼블릭은 기업이 맥 컴퓨터 신품을 막 설정하기 위해 최초로 무선랜 와이파이(Wi-Fi)를 연결할 때, 원격으로 사이버 침해를 당할 수 있다고, IT매거진 와이어드를 인용해 지난 10일 보도했다. 이는 지난주 미국서 치른 보안컨퍼런스 '블랙햇'을 통해 소개된 내용이다. [☞원문보기]
■ 사내망 업무기기 관리하는 MDM과 애플 DEP 등록 자동화 과정
기업은 MDM을 통해 사내 전산망에 연결되는 기기의 정보를 관리하고 보안정책을 적용한다. MDM은 통상 PC가 아니라 모바일 기기를 관리하는 솔루션으로 인식되지만, 데스크톱이 아니라 노트북이나 태블릿 등 휴대성을 제공하는 무선네트워크 연결 기기 전반을 관리할 수 있다.
애플은 아이폰, 아이패드, 맥 컴퓨터를 도입하려는 기업들이 그 MDM 플랫폼에 애플 기기를 등록, 관리할 수 있도록 전용 MDM 프로토콜을 제공하고 있다. 기업은 애플의 MDM 프로토콜을 지원하는 MDM 플랫폼을 통해 애플 DEP으로 기기 등록을 자동화할 수 있다.
DEP는 애플이 MDM 플랫폼을 운영하는 기업 및 교육기관에 판매하는 기기의 일괄 등록 및 배포 절차다. 기업이나 교육기관이 iOS 또는 맥OS 기반의 애플 제품을 업무용 기기로 쓰고자 구매했을 때, 제품을 현업에 배치하기 전에 IT관리자가 수행해야 하는 초기 업무를 덜어 준다.
와이어드는 "이 툴을 통해 기업의 직원들이 집에서나 원격 사무실에서 일하더라도 맞춤형 IT 설정을 갖춘 맥을 바로 쓸 수 있다"며 "기업은 직원용 맥을 애플 창고에서 바로 지급할 수 있고, 이 기기는 첫 부팅시 와이파이 연결로 기업 에코시스템에 자동 합류한다"고 묘사했다. [☞원문보기]
과정은 이렇다. 애플 DEP과 MDM에 맥 컴퓨터의 일련번호가 등록될 때 애플의 서버와 기업이 도입한 MDM 플랫폼 서버 양쪽에 일련의 점검사항이 자동 처리된다. 맥이 일련번호를 대며 자신이 어느 이용자에게 귀속되는지 물으면 애플 서버가 MDM 서버와 통신해 알려주는 식이다.
그런데 DEP와 MDM을 활용한 자동화 설정의 편리함을 실현하려면 기기에 여러 고수준 접근 권한을 허용해야 한다. DEP기업의 맥 컴퓨터를 겨냥한 공격 시나리오는 이런 접근 권한을 가진 애플 DEP와 기업 MDM 플랫폼 사이 구간의 보안 허점을 파고들어 이 권한을 악용할 수 있다.
전문가들이 '와이파이' 연결을 위험하다고 한 이유는 뭘까. 최초 맥 컴퓨터 등록이 직원의 거주지나 외부에서 진행될 경우 잠재 위험이 커지기 때문이다. 사내망은 부가적인 보안 환경을 갖추고 있지만 가정용 인터넷공유기나 카페 등 개방된 장소의 인터넷은 해커에게 장악되기 쉽다.
■ 원격 소프트웨어 자동설치 목록을 바꿔치기당할 수 있다
지난주 블랙햇 컨퍼런스에서 미국의 클라우드 기반 맥 컴퓨터 관리솔루션 스타트업인 플릿스미스의 제스 엔달 최고보안책임자(CSO)와 클라우드 파일공유서비스 드롭박스의 직원 맥스 벨란저(Max Belanger)가 애플 DEP와 MDM으로 초기화되는 맥을 침해하는 방법을 시연했다.
이 보안연구자들에 따르면 DEP으로 자동화한 애플 서버와 기업내 MDM서버간 통신은 '인증서 고정(certificate pinning)' 방식을 쓴다. 인증서 고정은 보안을 요하는 통신 환경에서 특정 웹서버가 자신이 누구라 주장하는지를 확정하는 방식이다. 그런데 그중 한 단계가 문제였다.
초기화 과정의 하나로 MDM서버는 직원에게 지급될 맥 컴퓨터에 기업용 소프트웨어를 자동 설치한다. 맥 앱 스토어에서 설치할 소프트웨어를 다운로드한다. 이 때 '매니페스트(manifest)'가 쓰인다. 뭘 내려받을지 어디에 설치할지 명시한 목록이다.
보안연구자들에 따르면 매니페스트는 인증서 고정 방식으로 인증되지 않는다. 매니페스트가 공격자가 악의적으로 조작한 것으로 바꿔치기당해도 기업이 알아차리지 못할 수 있다. 공격자는 매니페스트를 조작해 악성코드 설치를 유도할 수 있다.
공격자가 매니페스트를 바꿔치기하려면 애플 DEP에 등록되는 기기와 MDM서버간의 통신에 끼어드는 일종의 중간자(MITM) 공격을 수행해야 한다. 좀 더 정확하게는, 기업에 납품된 애플 기기와 MDM솔루션 공급업체의 웹서버에 끼어들어야 한다.
연구자들은 "이런 정교한 공격 설계는 흔한 웹 범죄자에겐 어렵지만, (정부 지원을 받는 등) 자금력을 갖췄거나 분명한 목적이 있는 해커라면 해낼 수 있다"며 "오염된 다운로드 서버에 유효한 웹 인증서가 필요하다는 점은 또다른 난관이지만, 불가능한 일은 아니다"라고 지적했다.
이어 "(성공하면) 여기서 공격자는 취약한 맥에 스파이웨어부터 암호화폐 채굴 악성코드까지 뭐든지 설치할 수 있다"며 "기업 네트워크에서 인증된 기기에 악의적 툴을 심어넣어 악성코드를 퍼뜨릴 수 있을만큼 취약한 시스템을 찾을 수도 있다"고 덧붙였다.
■ 까다롭지만 현실에서 가능한 공격…"정부라면 시도할 수 있다"
드롭박스 소속 엔지니어 맥스 벨란저는 "만일 실제 기업 환경에 이 공격을 적용하면 공격자는 자신이 MITM 공격으로 끼어든 곳에 의존하는 모든 구성원들을 감염시킬 수 있다"며 "이게 아무 제약 없이 모든 권한을 활용하는 최초 설정 단계에 벌어지는 일"이라고 설명했다.
블랙햇에서의 MITM 공격 시연은 제스 엔달 CSO의 플릿스미스가 직접 구성한 인증된 서버로만 진행됐다. 그만큼 이 공격이 실제 환경에서 수행되긴 까다롭다는 뜻이다. 하지만 엔달 CSO는 "이 공격은 몇몇 정부가 수행할 동기를 가졌을거라 짐작할만큼 강력하다"고 강조했다.
벨란저와 엔달이 공동 작성한 백서에 인용된 애플 측 설명을 보면 MDM 프로토콜로 DEP에 등록, 관리될 수 있는 애플 제품의 범위는 꽤 넓다. iOS4 버전 이상을 구동하는 아이폰 및 아이패드, iOS7 버전 이상을 구동하는 애플TV, 맥OS 10.7 버전 이상을 구동하는 맥 컴퓨터가 해당된다. [☞원문보기(PDF)]
공격 시나리오에서 잠재 표적은 맥OS를 탑재한 데스크톱과 노트북이다. 맥OS 10.7 '라이언' 이상 버전을 탑재하고 출시된 맥북프로, 맥북에어, 아이맥 등이다. 맥OS 10.7 라이언 OS는 지난 2011년 7월 배포됐다. 이후 최근까지 7년간 시판된 맥OS 기기를 새로 도입한 기업이 영향권에 있다.
물론 벨란저와 엔달은 이 문제점을 발견한 뒤 공표하기 전에 애플에 먼저 알렸다. 애플은 2017년 9월 출시된 '맥OS 하이시에라' 10.13.6 버전부터 관련 허점을 패치한 OS를 제공하기 시작했다. 하지만 그보다 오래된 구형 맥OS를 탑재한 제품은 여전히 취약한 상태다.
관련기사
- 윈도10 코타나, 잠금해제 보안취약점 노출2018.08.16
- 크롬 주소창에서 HTTPS 표시 빠지는 이유2018.08.16
- 애플, 맥OS 로그인 보안 결함 해결2018.08.16
- VM웨어, 클라우드 기반 MDM 출시2018.08.16
백서는 연구자들의 제보를 바탕으로 애플이 MDM 프로토콜에 'InstallEnterpriseApplication'이라는 새 명령어를 추가해 조치했다는 설명을 담고 있다. 이 명령어는 애플 MDM 프로토콜을 지원하는 MDM 플랫폼 개발업체가 기기의 매니페스트 요청시 인증서 고정 속성을 지원하는 역할이다.
결국 기업은 블랙햇에서 시연된 MITM 공격의 위험을 피하려면 맥OS 10.13.6 이상 버전을 탑재한 기기와 함께 새로운 프로토콜 명령어를 지원하는 MDM 플랫폼을 써야 한다. 기업들이 이미 사용 중인 MDM 플랫폼의 명령어 지원 여부는 그 각 솔루션 공급업체의 사후지원에 달려 있다.
