아이클라우드 등 애플 서비스에서 55개의 취약점 발견

클라우드(cloud) 해킹 대응책은 계정 분리

2020.10.9일 아이클라우드(iCloud)를 포함한 애플(Apple) 서비스에서 발견된 55개 취약점이 공개됐다. 이들은 7~9월에 걸쳐 애플에 보고됐는데, 애플이 패치를 완료하기를 기다려 공개된 것이다.

이 중 11개는 원격코드 실행, 정보 유출, 계정 탈취 등 심각한 것이다. 사용자와 애플 직원 앱을 완전 장악, 아이클라우드 계정 탈취, 애플 프로젝트의 소스코드 탈취, 관리 도구와 민감한 고객 정보에 접근할 수 있는 애플 직원의 세션 탈취 등이 포함됐다.

몇 가지 구체적인 사례를 본다. ade.apple.com(Apple Distinguished Educators) 사이트는 인증 우회 취약점이 있었다. 해커는 기본 암호를 이용해 관리자 콘솔에 접근하고 임의의 코드를 실행할 수 있다.

Delmia Apriso라는 창고 관리 솔루션은 암호 재설정 기능에 결함이 있었다. 이를 악용해 해커는 선적 정보와 상품 목록을 조작하고, 직원 배지를 인가할 수 있다. 심지어 악의적인 계정을 새로 만들어 이 소프트웨어를 완전히 장악할 수 있다.

authors.apple.com은 작가들이 창작물을 애플 북스에 출판할 수 있는 사이트인데, 해커는 ePub 전자책 파일 업로드 툴을 이용해 임의의 코드를 실행할 수 있다.

일반인들에게 가장 충격적인 것은 아이클라우드의 XSS(cross-site scripting) 취약점일 것이다. 이를 악용하기 위해 해커가 할 일은 오직 표적에게 icloud.com이나 mac.com 주소로 특별하게 조작된 이메일을 보내는 것 뿐이다. 악성 메일을 Apple Mail에서 열어보면, 그 계정은 해커에게 완전히 장악된다.

그 결과는 개인 정보를 완전히 탈탈 털리는 것이다. 아이클라우드에 저장한 문서, 사진, 동영상, 주소록, 일정 등 모든 데이터를 탈취당할 수 있다. 게다가 이 취약점은 wormable이다. 한 피해자의 주소록에 있는 연락처로 자동으로 퍼져나간다.

이렇게 클라우드 서비스 자체의 취약점을 이용한 해킹은 사용자 입장에서는 막을 방법이 없다. 2단계 인증도 소용없다. 그저 피해를 최소화하기 위한 대책이 가능할 뿐이다.

먼저 클라우드를 이용할 데이터를 선별해야 한다. 아주 민감한 정보는 클라우드에 저장하지 않는 것이 좋다. 중요한 문서는 강력한 암호를 설정한다.

업무용 메일과 마이크로소프트 원드라이브나 구글 드라이브 같은 웹 오피스를 많이 사용한다면, 개인용 계정과 업무용 계정은 별도로 만들어 사용하는 것이 좋다. XSS 취약점을 이용한 해킹은 계정의 인증 쿠키(토큰)을 탈취하는 것이기 때문에, 용도별로 다른 계정을 사용하면 위험을 크게 줄일 수 있다.

참고 자료

1. 55 New Security Flaws Reported in Apple Software and Services 

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다