casaubon

The Mac Landscape: Full of Empty Threats?

By Larry Seitzer
November 16,2006

Opinion: The verdict is in: OS X is as insecure as anything out there, but somehow nobody—including attackers—cares.

시만텍의 보고서, "The Mac OS X Threat Landscape: An Overview"의 내용을 보자. 여타 다른 메이저급 운영체제만큼이나 맥오에스텐에도 취약점이나 잠재적인 공격요소가 있음을 밝혔을 때가 7월달이었다.

그리고 이번주에 나온 업데이트 버전은 상황이 사실 더 악화되고 있다는 결론을 내린다.

하지만 맥은 윈도우즈 시스템만큼 널리 공격받고 있지 않다. 사실 필자가 맥오에스텐의 공격 문제를 감시하고 있긴 한데, 오히려 맥보다는 리눅스가 더 공격을 많이 받는 것으로 보인다. 하지만 리눅스 컴퓨터보다 맥이 훨씬 더 많이 널려 있는 상황이다.

시만텍의 보고서는 스스로 연구조사를 벌인 보고서가 아니다. 모두 다 애플 자신이 내놓은 연구 보고와 취약성에 기반하는 보고서다. 이번 업데이트 버전에서 보면, 애플 소프트웨어의 취약성 빈도(頻度)가 더 늘어났음이 그래픽으로 나타나 있다. 게다가 최근, Month of Kernel Bugs 프로젝트가 오에스텐 커널 fpathconf() 시스템 호출에 버그가 있다고 밝혔다. 즉, DOS 공격을 받을 수 있다는 의미이다. 오에스텐의 선임자랄 수 있는 FreeBSD에서는 2000년 6월에 수정이 되어 있었다.

이 보고서는 또한 오에스텐의 보안상황에 대한 몇 가지 일반적인 주안점을 논한다. 그 중 하나는 오에스텐의 heap manager를 이제 사람들이 더 잘 이해하고 있다고도 밝힌다. 오에스텐이 나온지 꽤 됐기 때문이다. 마이크로소프트의 로버트 헨싱(Robert Hensing)의 말마따나, "어떻게 돌아가는지를 아는 것이, 해킹의 첫 번째 단계. "인 셈이다.

전에는 미처 몰랐던 점도 있다. 투-레이어 커널의 의미에 대한 것이다. 보고서를 인용한다.

오에스텐 운영체제는 FreeBSD 기반에 여러가지 툴과 프레임웍(가령 Core Foundation)을 추가시킨 운영체제다. 오에스텐이 사용하는 기반 커널은 마흐-기반의 커널인 다윈이다. 맥오에스텐이 유닉스 기반의 운영체제이기 때문에, 오에스텐은 파일 속성 처리는 물론 잘 디자인된 다중 사용자 인프라, 내장 보안 기능을 모두 지닌다. 또한 오에스텐은 BSD와 마흐 커널 기능을 통합시켰기에, 상호 독립적으로 운용할 수 있다.

"잘 디자인됐다"라는 말은, 이러한 투-레이어 커널이 상당히 비정상적인 대규모 공격을 유발할 수 있다는 의미가 된다. 커널이 두 개라서이다.

한 연구자에 따르면, 애플은 소프트웨어 불법 침입으로부터 운영체제를 보호하기 위해, 중요 부분은 암호화시켜 놓았다. 클릭하시면 더 읽을 수 있다.

이론적인 상황만이 아니다. uninformed.org, Nemo의 연구에 따르면, BSD 보안도 경유가 가능하다. 오에스텐 커널상에 마흐와 BSD가 통합되어있고, 여기에 오류가 있기 때문이다.

시만텐 보고서는 그러한 오류의 개발 탐구 등이 맥 업계에서 더 활발하다고 주장하면서, x86으로의 이주가 이를 더 쉽게 도왔다고도 지적한다. 원래 필자는 이러한 주장에 대해 회의적이었다. 보고서에 따르면, 오에스텐의 루트킷에서 상당히 작업이 이뤄지기는 했지만, 어드레스 공간 레이아웃 랜덤화와 같은 진보적인 방어 기술은 커녕, 단순한 stack canaries조차 오에스텐에 없다는 주장이 나왔다.

아하, 그렇구나! 그렇다면 맥오에스텐을 공격할 여지가 많아졌다. 그러면, 실제로 공격이 이뤄지고 있을까? 맥 botnet 군단은 어째서 왜 오지 않을까? 맥용 말웨어 샘플이 왜 매일같이 등장하지 않을까?

보고서는 분명한 답변을 내리고 그 답변에 집중한다. 바로, 위 질문에 대한 표준적인 답변이다. 맥이 별로 안유명해서란다. 따라서 맥용 말웨어를 생각할 이유가 그만큼 적다. 성장율이 엄청나게 높다는 기사가 나오긴 하지만, 전체적인 맥 시장점유율이 그동안 별로 오르지 않았으니 그럴 만도 하다. 보다 더 중요한 수치인, 기존의 설치대수 점유율도 최근에 급성장하기는 했겠지만, 여기에 대해서도 염두에 두지는 않았다.

시중에 깔린 머신 중에 리눅스나 솔라리스 시스템은 맥보다 더욱 더 적지만, 이들은 늘상 커널 취약점이나 애플리케이션 버그를 통해 공격을 받는다. 도대체 이 차이점은 무엇일까? 아마도 공격자나 연구자 개인들이 리눅스나 솔라리스에 더 친숙해서일지도 모르겠다. 아니, 이들 시스템이 서버지향적인지라 공격 목표가 되기 더 쉬워서일 수도 있다. 어쩌면 사무용으로 더 많이 쓰여서 그럴 법도 하다. 아니 그렇다면, 애플이 대기업시장에 관심 없는 이유가 바로 이것이란 말인가?

필자도 모르겠소이다. 모두 다 합리적이기는 하지만, 만족스럽지가 못하다. 한 가지 면만은 확실하다. 맥 사용자들은 지금까지 정말 행운아들이다.

Security Center Editor Larry Seltzer has worked in and written about the computer industry since 1983

Check out eWEEK.com's Security Center for the latest security news, reviews and analysis. And for insights on security coverage around the Web, take a look at Ryan Naraine's eWEEK Security Watch blog.

http://www.eweek.com/article2/0,1895,2059980,00.asp

__________________
FAQ