이원영 기자
해커 콘퍼런스인 데프콘에서 오랫동안 맥 보안을 연구하던 패트릭 워들(Patrick Wardle)이 맥에 내장된 악성코드 탐지 도구 중 하나가 수비게 우회할 수 있다고 지적했다.
악성 프로그램 핵심은 웹브라우저나 채팅 앱 같은 소프트웨어이기 때문에 컴퓨터에서 악성코드를 완전한 정확도로 탐지할 수 있는 확실한 방법은 없다. 정식 소프트웨어와 비정규 소프트웨어를 구분하기 어려운 경우가 있기 때문이다. 따라서 마이크로소프트와 애플 같은 컴퓨터용 운영체제를 개발하는 제조업체와 타사 보안 도구 개발사는 잠재적으로 악의적인 소프트웨어 동작을 감지하기 위해 멀웨어 감지 메커니즘을 개발하고 응용 프로그램으로 검색 도구를 만들고 있다.
멀웨어에는 장치에서 단시간 작동하도록 설계된 것과 컴퓨터가 재시작될 때까지 계속 작동하도록 설계된 게 있다. 또 컴퓨터가 한 번 종료되면 대상 기기에 남아있도록 설계된 것도 있다. 대다수 정식 소프트웨어는 기기를 켤 때마다 모든 앱 데이터 설정이 그대로 표시되도록 지속성이 필요하다. 하지만 소프트웨어가 예기치 않게 지속성을 확립한다면 이는 악의적 징후라고 생각할 수 있다. 따라서 애플은 악성코드 탐지 도구로 백그라운드 태스크 매니저를 탑재하고 있으며 이는 소프트웨어 지속성을 감시하는데 중점을 두고 있다.
애플은 2022년 10월 백그라운드 작업 관리자에게 지속성 이벤트가 발생했을 때 사용자와 시스템에서 실행 중인 타사 보안 도구 모두에 알림을 직접 보내도록 업데이트했다. 이렇게 하면 설치된 소프트웨어에서 이전과 다른 동작이 감지되면 시스템이 손상됐을 수 있다는 걸 알릴 수 있다.
이 백그라운드 태스크 매니저 업그레이드에 관해 워들은 뭔가 영구적으로 자체 설치될 때 이를 알려주는 도구가 있어야 한다며 애플이 자체적으로 이 기능을 추가했다는 걸 훌륭하지만 구현이 너무 부족해 어느 정도 세련된 멀웨어라면 쉽게 이 감시를 회피할 수 있다고 지적했다.
그는 오픈소스 맥OS용 보안 도구를 제공하는 활동(Objective-See Foundation) 일환으로 블록블록(BlockBlock)이라고 불리는 백그라운드 태스크 매니저와 같이 영속 이벤트를 통지하기 위한 도구를 올랫동안 제공해온 인물이다. 따라서 자신도 비슷한 도구를 만들었기 때문에 자신의 도구가 직면한 문제를 이해하고 있다는 설명이다.
그가 발견한 백그라운드 작업 관리자를 우회하는 한 가지 방법은 대상 장치에 대한 루트 권한이 필요한 것이다. 다시 말해 공격자는 대상 터미널이 지속성 경고를 수신하지 못하게 하기 전에 터미널에 대한 완전한 제어권을 얻어야 한다는 걸 의미한다.
하지만 백그라운드 작업 관리자가 사용자, 보안 도구로 보내는 지속성 경고를 비활성화하기 위해 루트 권한이 필요하지 않은 2가지 방법이 발견됐다. 하나는 지속성 경고가 커널과 통신하는 방법에 존재하는 버그를 이용한 것이며 다른 하나는 시스템 권한을 갖지 않는 사용자라도 프로세스를 수면할 수 있는 기능을 이용한 것이다.
워들은 이런 버그를 데프콘에서 발표하기 전 애플 측에 버그에 대해 연락하지 않았다고 밝혔다. 그는 이유로 백그라운드 태스크 매니저 버그에 대해 이미 애플에 알리고 도구 품질을 더 포괄적으로 향상시키는데 성공했기 때문이라고 설명했다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
정용환 기자
