본문 바로가기 주메뉴 바로가기 검색 바로가기
애플, iOS의 심각한 보안 결함 수정…업데이트 완료하라
상태바
애플, iOS의 심각한 보안 결함 수정…업데이트 완료하라
애플의 iOS 외에도 크롬은 제로데이 결함을 추가로 수정했다. 마이크로소프트는 100가지 취약점을 해결했으며, 안드로이드는 중요한 패치 작업을 완료했다. 이 외에도 여러 기업이 보안 업데이트 사항을 배포했다.
By KATE O'FLAHERTY, WIRED UK

2022년 8월에도 여러 기업이 보안 패치를 지원하느라 분주한 모습을 보였다. 8월에는 애플과 구글, 마이크로소프트가 이미 악용된 취약점을 다룬 긴급 수정사항을 배포했다. 또, VM웨어(VMWare), 시스코(Cisco), IBM, 짐브라(Zimbra) 등 여러 주요 기업도 중요한 수정사항을 배포했다.

2022년 8월 배포된 수정사항 중 알아야 할 중요한 보안 수정사항을 아래와 같이 전달한다.

애플 iOS 15.6.1
2개월간의 보안 패치 결함 이후 7월, 다양한 보안 수정사항을 배포한 애플이 이번 8월에는 iOS 15.6.1의 긴급 보안 업데이트를 지원했다. 애플의 업데이트 사항은 이미 해커 세력이 널리 악용한 결함 2종이다.

해커 세력이 웹킷(CVE-2022-32893)과 커널(CVE-2022-32894)의 취약점을 동시에 악용해, 심각한 피해를 일으킨 것으로 추정된다. 두 가지 결함을 악용한 공격은 해커 세력이 아이폰 제어 권한을 얻고, 민감한 파일과 뱅킹 정보를 손에 넣을 수도 있다.

소포스(Sophos) 수석 연구원 폴 더클린(Paul Ducklin)이 블로그 게시글을 통해 분석한 바와 같이 웹킷과 커널 보안 취약점 모두 일반적으로 기기 탈옥을 시작할 때 필요한 모든 기능을 제공하며, 애플이 실행하는 보안 제한 사항 대부분 우회한다. 더클린은 “해커 세력이 백그라운드 스파이웨어를 설치한 뒤 사용자가 전반적인 감시 대상이 될 수 있다”라고 설명했다.

애플은 대다수 사용자가 업데이트를 완료하기 전까지 웹킷과 커널 취약점 모두 구체적으로 공개하는 것을 꺼린다. 따라서 지금 당장 해커 세력이 주요 공격 대상으로 삼은 피해자 집단을 특정하기 어렵다. 확실한 기기 보안을 위해 iOS 15.6.1 버전으로 즉시 업데이트하기를 바란다.

애플은 아이패드OS 15.6.1과 워치OS 8.7.1, 맥OS 몬터레이 12.5.1에도 보안 업데이트 사항을 배포했다. 따라서 iOS 15.6.1과 함께 모두 업데이트해야 한다.

구글 크롬
구글은 2022년 5번째로 발견된 제로데이 결함을 수정할 보안 업데이트를 배포했다. 8월, 구글은 총 11가지 취약점 수정 목록을 공개했다. 패치 작업을 진행한 취약점 중에는 CVE-2022-2852로 알려진 중대한 보안 결함인 FedCM의 UAF(use-after-free)와 보안 위험성이 높은 취약점 6개, 보안 위험성이 중간으로 분류된 취약점 3개가 포함되었다. 보안 위험성 등급이 높은 취약점 중에는 사이버 공격 세력이 널리 악용한 CVE-2022-2856이 포함되었다.

구글은 CVE-2022-2856의 구체적인 정보를 공개하지 않았다. 다만, 사이버 공격 세력이 상세 정보를 손에 넣었기 때문에 당장 크롬을 업데이트하는 것이 좋다.

8월 초, 구글은 크롬 104를 배포하면서 취약점 27가지를 수정했다. 그중 7개는 보안 위험성 등급이 높다.

구글 안드로이드
8월 안드로이드 보안 패치는 심각한 취약점 수십 개를 포함한 수많은 보안 패치 작업이 진행됐다. 패치 배포 대상 중에는 추가 권한이 필요 없는 로컬 권한 강화로 이어질 수 있는 프레임워크의 결함이 포함되었다. 반면, 미디어 프레임워크 문제는 원격 정보 공개로 이어질 수 있으며, 시스템 결함은 블루투스를 통한 원격 코드 실행을 개시할 수 있다. 커널 구성요소의 취약점도 로컬 특권을 강화할 위험성이 있다.

안드로이드 보안 패치는 8월 말에 배포되었다. 현재 구글 픽셀(Google Pixel)과 노키아 T20(Nokia T20), 삼성 갤럭시 S 시리즈, 갤럭시 노트 시리즈, 갤럭시 폴드 시리즈, 갤럭시 플립 시리즈 등에 보안 패치를 지원한다.

마이크로소프트
마이크로소프트는 8월 패치 화요일(Patch Tuesday)로 100개가 넘는 보안 결함을 수정했다. 전체 수정 결함 중 보안 위험성 등급이 심각한 결함은 총 17개이다. 마이크로소프트가 패치 작업을 지원한 결함 중 도그워크(DogWalk)라는 이름으로도 알려진 CVE-2022-34713은 이미 악용 사례가 발생했다.

윈도 지원 진단 도구(MDST)의 원격 코드 실행 결함은 시스템 보안 침입 공격으로 이어질 수 있어, 보안 위험성 등급이 높은 결함으로 분류됐다. 윈도와 윈도 서버 사용자 모두 피해를 볼 수 있는 해당 결함은 2020년 1월 자로 처음 발견됐다. 그러나 당시 마이크로소프트는 보안 문제가 되지 않는다고 판단했다.
 
[사진=Freepik]
[사진=Freepik]

VM웨어
8월, VM웨어는 CVE-2022-31656로 추적된 심각한 인증 우회 버그를 포함한 수많은 결함을 수정했다. VM웨어는 패치 배포 당시 퍼블릭 악용 코드(public exploit code) 가능성을 경고했다.

또, VM웨어 워크스페이스 원 액세스(VMware Workspace ONE Access)와 아이덴티티 매니저(Identity Manager), 아리아 오토메이션(Aria Automation, 구 ‘vRealize Automation’) 등에서 보안 위험성 점수 10점 만점 기준 8점 평가를 받았으며, CVE-2022-31658이라고도 알려진 원격 코드 실행 취약점을 수정했다. 반면, VM웨어 워크스페이스 원 액세스와 아이덴티티 매니저의 SQL 투입 원격 코드 실행 취약점도 보안 위험성 점수 8점을 받았다. 모두 해커 세력이 관리자 접근 권한과 네트워크 접근 권한을 손에 넣은 뒤 원격 코드 실행을 유도할 위험성이 있다.

VM웨어 워크스페이스 원 액세스와 아이덴티티 매니저, 아리아 오토메이션에서 권한 강화 취약점 2개가 발견되기도 했다.

8월 말, VM웨어는 VM웨어 툴(VMWare Tools)의 로컬 권한 강화 취약점인 CVE-2022-31676을 자세히 설명했다. 해당 취약점은 사이버 공격 세력이 관리자 권한 없이 게스트OS(Guest OS)에 접근해, 가상 머신의 기본 사용자로 권한을 강화하는 데 악용할 수 있다.

시스코
시스코도 보안 업데이트 배포로 분주한 8월을 보냈다. 시스코는 인증되지 않은 원격 공격을 개시해, RSA 프라이빗 키를 보관할 수 있는 ASA(Adaptive Security Appliance)와 FTD(Firepower Threat Defense) 소프트웨어의 버그를 포함한 여러 버그를 수정했다.

시스코는 RSA 키가 하드웨어 기반 암호화를 수행하는 하드웨어 플랫폼에 보관될 때 발생하는 논리 오류가 문제 원인이라고 설명했다. 시스코는 “해커 세력이 공격 대상이 된 기기에 대한 렌스트라(Lenstra) 사이드 채널 공격을 동원해, ASA와 FTD 소프트웨어 버그를 악용할 수 있다. 해커 세력이 이를 완벽하게 악용하면, RSA 프라이빗 키를 보관할 수 있다”라고 경고했다.

시스코는 8월 초, 시스코 스몰 비즈니스(Cisco Small Business) RV160, RV260, RV340, RV345 시리즈 라우터의 취약점도 여럿 수정했다. 인증되지 않은 원격 해커 세력이 임의 코드를 실행하거나 서비스 거부 공격을 개시할 수 있기 때문이다.

이 외에도 시스코는 8월 말, 시스코 시큐어 웹 어플라이언스(Secure Web Appliance, 구 ‘시스코 웹 시큐리티 어플라이언스’)용 Cisco AsyncOS의 웹 관리 인터페이스 패치도 추가로 배포했다. 인증된 해커 세력이 주입 명령을 내려 기본 권한을 강화할 수 있기 때문이다.

시스코가 패치 작업을 진행한 다수 결함은 5월, 얀루오왕(Yanluowang) 랜섬웨어 조직의 공격 피해 원인이 되었다.

IBM
소프트웨어 업계 대기업 IBM은 IBM MQ에 피해를 준 libcurl 라이브러리의 문제를 해결할 패치 작업을 진행했다. IBM이 발견한 첫 번째 취약점인 CVE-2022-27780은 원격 해커 세력이 URL 파서(URL parser) 때문에 “/”와 같이 잘못 인식된 퍼센트 삽입 URL 세퍼레이터(URL separators)를 통해 보안 제한을 우회할 위험성이 있다. 해커 세력은 URL의 특수 제작된 도메인 명칭을 전송해, 취약점을 악용할 수 있다.

CVE-2022-30115로 알려진 두 번째 취약점인 HSTS 체크 우회(HSTS check bypass) 결함은 원격 공격을 개시해, 민감 정보를 손에 넣을 수 있다.

짐브라
이미 악용 사례가 발생한 짐브라 콜라보레이션 수트(ZCS) 결함은 매우 심각한 보안 결함이다. 이 때문에 미국 사이버보안 인프라 안보국(CISA)와 주정부 정보 공유 및 분석 센터(MS-ISAC)도 짐브라의 보안 결함과 관련된 합동 경고문을 발행했다.

짐브라는 2022년 5월부터 7월 사이에 취약점 5개를 대상으로 패치 작업을 진행했다. CISA와 MS-ISAC는 ZCS를 업데이트하지 않은 기관에 보안 피해가 발생했다고 가정하고, 악성 활동 퇴치를 위해 패치 작업을 완료하도록 안내했다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Apple Fixed a Serious iOS Security Flaw—Have You Updated Yet?
이 기사를 공유합니다
RECOMMENDED