맥 멀웨어는 애플의 백그라운드 작업 관리자를 쉽게 우회할 수 있다고 보안 연구원은 말합니다.

맥 멀웨어는 애플의 백그라운드 작업 관리자를 쉽게 우회할 수 있다고 보안 연구원은 말합니다. (사진 출처 : macrumors)

macOS에는 작년에 백그라운드 작업 관리자가 추가되어 맥 멀웨어를 탐지하는 여러 가지 기본 제공 도구가 있습니다. 그러나 한 보안 연구원은 이를 쉽게 우회할 수 있으며, Apple이 이를 수정하라는 자신의 권고에 따라 조치를 취하지 않았다고 말합니다.

 

패트릭 워들(Patrick Wardle)은 데프콘 해커 컨퍼런스에서 자신의 연구 결과를 발표하면서 애플에 미리 알리지 않는 이례적인 결정을 내렸습니다.

 

Mac 멀웨어에 대한 Apple의 3중 보호 시스템

 

Apple은 멀웨어로부터 Mac을 보호하기 위한 3중 보호 시스템을 갖추고 있습니다.

 

첫째, 멀웨어 설치를 방지합니다. 이는 Mac App Store에서 앱을 검사하고 공증 기능이 있는 Gatekeeper를 사용하여 다른 모든 앱이 공인된 개발자의 서명을 받았는지 확인함으로써 수행됩니다.

 

둘째, 멀웨어가 이 계층을 통과하면 XProtect를 사용하여 멀웨어를 인식하고 실행을 차단합니다.

 

"macOS에는 시그니처 기반 멀웨어 탐지 및 제거를 위한 XProtect라는 바이러스 백신 기술이 내장되어 있습니다. 이 시스템은 서명 기반 멀웨어 탐지를 수행하는 데 사용되는 도구인 YARA 서명을 사용하며, Apple은 정기적으로 업데이트합니다. Apple은 새로운 맬웨어 감염 및 변종을 모니터링하고 시스템 업데이트와는 별도로 자동으로 서명을 업데이트하여 맬웨어 감염으로부터 Mac을 방어합니다. XProtect는 알려진 맬웨어의 실행을 자동으로 감지하고 차단합니다."

 

셋째, 멀웨어가 한 번 실행된 적이 있더라도 Apple은 향후에 멀웨어가 실행되는 것을 방지하기 위해 노력합니다. 새로 식별된 멀웨어를 찾기 위해 XProtect를 자주 업데이트합니다. 또한 작년에 Apple은 가장 위험한 형태의 멀웨어인 지속되는 앱을 찾는 백그라운드 작업 관리자를 도입했습니다.

 

백그라운드 작업 관리자

 

일부 멀웨어는 개인 데이터를 훔치는 등의 목적으로 한 번 실행한 후 종료됩니다. 하지만 가장 위험한 형태의 멀웨어는 지속됩니다. 이러한 형태의 멀웨어는 지속적인 사용자 활동을 모니터링하고 공격자의 서버에서 새로운 요소를 다운로드하는 등의 작업을 수행할 수 있습니다.

 

Apple은 새로운 영구 작업의 설치를 찾고 사용자와 Mac에서 실행 중인 타사 보안 도구 모두에게 알림을 보내 이를 탐지하려고 합니다. 대부분의 합법적인 앱은 영구 작업을 생성하기 때문에 Mac App Store 또는 신뢰할 수 있는 개발자의 새 앱을 설치한 경우 이 경고가 표시되더라도 걱정할 필요는 없습니다.

 

하지만 경고가 갑자기 나타난다면 Mac이 손상되었을 수 있다는 신호입니다.

 

하지만 쉽게 우회할 수 있습니다.

 

보안 연구원 패트릭 워들(Patrick Wardle)은 작년에 이 작동 방식에서 발견한 여러 가지 결함에 대해 Apple에 알렸습니다. 그는 이전에 동일한 작업을 수행하는 자체 도구를 만들었기 때문에 이러한 유형의 보호 기능을 구현하는 데 따르는 어려움에 대해 한두 가지 정도 알고 있습니다.

 

하지만 그는 애플이 자신이 회사와 논의한 보다 근본적인 문제를 해결하지 못했다고 Wired에 말했습니다.

 

"백그라운드 작업 관리자가 처음 출시되었을 때, 워들 씨는 지속성 이벤트 알림이 실패하는 도구의 몇 가지 기본적인 문제를 발견했습니다. 그는 이를 Apple에 보고했고, 회사는 오류를 수정했습니다.

 

하지만 Apple은 도구의 더 깊은 문제를 파악하지 못했습니다.

 

"몇 번을 반복한 끝에 결국 문제를 해결했지만, 마치 추락하는 비행기에 테이프를 붙이는 것과 같았습니다."라고 Wardle은 말합니다. "그들은 이 기능에 많은 작업이 필요하다는 사실을 깨닫지 못했습니다.""

 

백그라운드 작업 관리자 우회 방법 공개

 

일반적으로 Wardle은 Apple이 익스플로잇을 수정한 후에야 익스플로잇에 대한 세부 정보를 공유합니다. 그러나 이번의 경우, 그는 쿠퍼티노 회사가 그렇게 하는 데 관심이 없는 것 같아서 자신이 발견한 우회 방법을 데프콘 해커 컨퍼런스에서 공유하기로 결정했다고 말합니다.

 

그 중 하나는 대상 Mac에 대한 루트 액세스 권한이 필요하지만 다른 두 가지는 필요하지 않습니다.

 

"또한 백그라운드 작업 관리자가 사용자와 보안 모니터링 제품에 보내야 하는 지속성 알림을 비활성화하기 위해 루트 액세스 권한이 필요하지 않은 두 가지 경로를 발견했습니다. 이 익스플로잇 중 하나는 알림 시스템이 커널로 알려진 컴퓨터 운영 체제의 핵심과 통신하는 방식의 버그를 이용합니다. 다른 하나는 시스템 세부 권한이 없는 사용자도 프로세스를 절전 모드로 전환할 수 있는 기능을 활용합니다. 워드클은 이 기능을 조작하여 지속성 알림이 사용자에게 전달되기 전에 방해할 수 있다는 사실을 발견했습니다."

 

그는 백그라운드 작업 관리자가 현재 사용자와 보안 회사 모두에게 잘못된 보안 인식을 제공하기 때문에 이러한 조치를 선택했다고 말하며, 이러한 측면이 이미 Mac 멀웨어로부터 보호되고 있다고 생각할 수 있다고 말합니다.