[문스랩닷컴] 삶에는 왕도가 없습니다

며칠 전에 보안 기업인 소포스(Sophos)에서 보안 보고서가 발표되었습니다. 이에 대한 내용을 살펴 보던 중에 Macintosh OS(Snow Leopard, Leopard)에서 안티바이러스 제품을 사용하는지 여부에 대한 조사 결과가 일부분 포함되어 있어서 발췌하여 소개합니다.


맥 운영체제는 자체적으로 보안이 강화되어 있어 바이러스에 감염될 가능성이 적다고 여겨지고 있습니다.

하지만, 사용자가 설치하여 이용하는 프로그램이 문제가 있는 경우에는 맥 운영체제에서 모두 차단할 수 없을 것으로 생각됩니다

따라서, 맥 사용자들도 적절한 보안 대책을 강구해야 하지 않나 싶습니다.

감사합니다.

애플 사는 최신형 iMac을 출시하면서 매직 마우스라는 새로운 개념의 마우스를 출시했습니다. 매직 마우스는 블루투스라는 무선 통신 방식을 이용합니다.


당연히 iMac에서만 사용할 수 있으며, 제품 출시 초기에는 윈도우와 같은 운영체제에서는 지원하지 않았습니다.

하지만, 부트캠프를 통해 윈도우에서 사용할 수 있는 드라이버가 추출되었으며, 인터넷 상에서 구해 설치하여 사용할 수 있습니다.

요즘 국내에서 공격적인 마케팅을 퍼붓고 있는 카스퍼스키에서 Mac OS에서 사용할 수 있는 안티바이러스 제품을 지난 10월 8일 출시했습니다. 이 제품을 통해 맥 사용자는 보다 보안을 강화할 수 있습니다.

안티 바이러스와 같은 보안 제품이 아니지만 정확히는 보안 제품인 척하면서 컴퓨터를 망가뜨리거나 돈을 내야만 정상적으로 동작하게 하는 프로그램을 보통 허위 보안 프로그램(Rogue Security Program)이라고 합니다.

가장 대표적인 예로는 Antivirus 2009가 있으며, 최근에는 맥 운영체제에서 동작하는 가짜 보안 제품이 인터넷 상에서 유포되고 있다고 합니다.

외국 보안 회사로 알려져 있는 선벨트(Sunbelt) 사의 알렉스 에켈베리에 따르면 '맥가드(MacGuard)'라고 하는 제품을 광고하는 웹사이트를 발견했다고 합니다.

http://www.macguard.net

이 제품은 OS X 운영체제에서 사용할 수 있으며 안티바이러스 뿐만 아니라 스파이웨어 기능도 제공하며 애드웨어와 피싱 공격도 차단할 수 있다고 되어 있습니다.

아직까지 이 사이트에서 다운로드받을 수 있는 링크는 나타나지만 실제로는 다운로드할 수 없습니다.


이 사이트들의 배경에는 'Antivirus XP 2008'과 'XP Antivirus'를 배포하는 집단이 있을 것으로 믿어지고 있습니다. 이 두 프로그램은 허위 윈도우 보안 프로그램으로 사용자에게는 최악의 피해를 입히고 있으며, 최근에는 V3를 비롯한 다양한 안티바이러스에서 이를 진단하는 추세를 보이고 있습니다.

만약 MacGuard 프로그램이 정말 가짜 보안 프로그램으로 밝혀진다면 이는 맥 운영체제에서 출현하는 악성 프로그램으로 또다른 전기를 맞게 될 수도 있습니다.

맥 OS에서는 일반적으로 바이러스에 감염되지 않는다고 합니다만, 최근에는 맥 컴퓨터에도 윈도우를 설치하거나 또는 윈도우에 감염된 파일을 맥에 보관하고 있다가 다른 컴퓨터에 복사하여 사용하다가 감염될 가능성이 많습니다.

무료 백신으로 유명한 어베스트! 안티바이러스에서도 매킨토시와 윈도우에서 동시에 사용할 수 있는 어베스트 MAC+PC 에디션이 출시된 적이 있습니다.

 시만텍에서도 이와 동일한 스펙을 제공하는 제품을 출시하였는데 제품 이름은 Norton Antivirus Dual Protection for Mac입니다. 이 제품은 노턴 안티바이러스 11 맥용 안티 바이러스 제품과 노턴 안티바이러스 2008 윈도우용 제품을 한데 묶어 판매하고 있습니다.

윈도우와 맥 운영체제에서 동일한 보호수단을 제공하므로 사용자 입장에서는 좀더 저렴한 비용으로 최대 효과를 누릴 수 있습니다.

홈페이지: http://www.symantec.com/norton/products/overview.jsp?pcid=ma&pvid=navdp11mac

매킨토시 OS 10.5 버전을 보통 레오파드(Leopard)라고 부릅니다.

시만텍에서는 레오파드에서 동작하는 노턴안티바이러스 맥용 버전 11을 출시합니다. 특이한점은 보통 맥에서는 바이러스가 거의 없는 상황입니다만, 이 제품에서는 맥용 뿐만 아니라 윈도우용 바이러스(웜 등등)의 데이터베이스까지 보유하고 있어 혹시라도 감염되더라도 충분히 처리할 수 있습니다.

특히, 최근 논란이 되고 있는 부분인 퀵타임 관련 취약점까지 커버할 수 있는 기능인 취약점 보호(Vulnerability Protection)를 제공합니다. 취약점을 통해 시스템이 감염되거나 인터넷 상의 특정 사진, 그림, 소프트웨어를 다운로드하여 설치할 때 악성 프로그램이나 바이러스가 함께 설치되는 것을 예방합니다.

우리가 많이 사용하는 윈도우 운영체제에서는 바이러스 등 악성 프로그램의 피해가 매우 심각합니다만, 매킨토시의 경우 어느 정도 바이러스 제작자의 타겟이 아니므로 바이러스가 거의 없다고 볼 수 있었습니다.

하지만, 드디어 매킨토시를 공격하기 위한 첫번째 바이러스(정확히는 트로이 목마)가 발견되었다는 소식입니다.

이 바이러스는 한 포르노 웹사이트에서 제공하는 소프트웨어(동영상 코덱)에 숨겨져 있으며 사용자가 이를 모르고 다운로드하여 실행할 경우에는 컴퓨터의 제어권을 빼앗기게 된다고 합니다. 즉, 포르노 동영상을 보기 위해서는 이 가짜 코덱을 설치해야 한다고 속여서 감염을 시도합니다.

가장 먼저 발견하여 언급한 곳은 인티고(Intego)라는 매킨토시 관련 포럼으로 알려졌으며 애플은 이 사실을 공식 확인했다고 합니다.

한 편, 보안 벤더 중 하나인 트렌드 마이크로 社는 이 바이러스가 2006년에 유행했었던 ZLOB의  변종으로 윈도우용 트로이 목마가 매킨토시로 진화한 것이리고 밝혔습니다.

이러한 사실을 본 때 앞으로는 윈도우 운영체제 뿐만 아니라 매킨토시 운영체제에서도 바이러스에 대한 다양한 연구와 이를 방어하기 위한 보안 프로그램 개발이 진행될 것으로 생각됩니다.

물론 기존의 보안 벤더에서는 매킨토시용 안티 바이러스 제품을 개발 중이거나 판매 중인 곳도 있습니다만, 이제 올것이 온것이라~는 느낌을 지울 수가 없습니다.

보안 벤더로 유명한 시만텍에서 개발하여 판매하는 제품인 맥용 노턴 안티바이러스에 권한을 상승시킬 수 있는 보안 취약점이 발견되었습니다.

영향을 받는 소프트웨어는 다음과 같습니다.

• Symantec AntiVirus for Macintosh 10.x
• Symantec Norton AntiVirus for Macintosh 10.x
• Symantec Norton AntiVirus for Macintosh 9.x
• Symantec Norton Internet Security for Macintosh 3.x

이 취약점의 원인은 /Library/Application Support 폴더의 권한이 잘못 설정되어 있어 발생합니다. 즉,이 폴더 포함된 특정한 애플리케이션을 대체하는 것과 같은 코드를 '루트' 권한으로 실행할 수 있습니다.

취약점의 해결방안으로는 "Show Progress During Mount Scans"를 사용하지 않게 하고, 이 폴더에 Sticky 비트를 설정합니다. 자세한 사항은 아래 개발사의 자료를 참고하세요.

http://securityresponse.symantec.com/avcenter/security/Content/2007.11.02.html

지난 주에는 마이크로소프트 10월 정기 보안 업데이트가 있었습니다. 이 중에 MS 워드에 관련된 취약점을 해결하는 업데이트도 포함되어 있었는데, 이 취약점에 관련된 익스플로잇이 실제로 발견되었다는 소식입니다.

지금까지의 전례를 볼 때에는 취약점을 이용하여 바이러스, 웜 등의 악성 프로그램을 제작하여 유포하는 형태였습니다만, 워드에서는 프로그램을 실행하는 것이 아니라 실제 워드 문서의 일부분을 변형하였다고 합니다. 즉, 워드 문서에 쉘 코드와 악성 프로그램(트로이 목마)가 심어져 있다는 것입니다.

워드 프로그램에서 이렇게 변형된 문서를 실행하면 프로그램이 제대로 수행되지 않고 종료된다고 합니다. 이러한 취약점은 워드 2007 버전을 제외한 다른 버전 그리고 다른 언어 버전에서도 동일하게 발생합니다.

변형된 문서를 열어보면 아래 그림과 같이 일부 코드가 변경되어 있습니다. 이 부분은 워드 문서의 헤더에 위치한 것으로 OLE에 관련된 것으로 알려졌습니다.

시만텍은 이러한 문제를 발생시키는 문서를 Troyan.Mdropper.Z으로 진단하며, 이에 관련된 파일들도 진단한다고 합니다.

참고로, 이 문제점은 지난 주에 발표한 보안 패치(MS07-60)를 통해 익스플로잇이 존재한다는 사실이 알려졌습니다.

요즘 모바일 장비에서 가장 화두에 오르는 것이 바로 애플의 아이폰(iPhone)입니다. 지난 27일에 북미에서 발매가 시작되었으며 발매에 관련하여 다양한 이야기꺼리가 나오고 있습니다. 불로거에 올라와 있는 포스트를 간단히 정리해 보면,

• 미국 전역에 아이폰 줄서기 모습
• "드디어 샀다" 美는 지금 아이폰 열풍, 필라델피아 시장도 애플 매장서 밤샘 줄서기

이제 아이폰이 나오다 보니 제품에 대한 세부 분석과 뜯어 보니, 그리고 단점에 대한 포스트들이 줄을 잇고 있습니다.

• 애플 아이폰의 장점과 단점: U.S.News & World Report 의 진단
• iPhone 큰 관심이 가지 않는 이유...
• iPhone은 핸드폰이 아니라는걸 모르는 분들이 많다

하지만, 실제 제품에 대한 충분한 자료가 공개되지 않고, 이렇다 저렇다 라고 소문한 무성한 것은 사실입니다. 아직 국내에서 발매되지는 않았지만, 조만간 나오면 좀더 세부적으로 알 수 있게 될거 같습니다.

이제 외국에서는 아이폰에 대한 하드웨어적인 분해(MOD)에 대한 글도 올라  오기 시작했습니다.

• [대박] 아이폰 고해상도 분해 사진 모음
• 아이폰 분해 사진입니다.

최근 애플은 자사의 브라우저를 윈도우에서 돌아갈 수 있도록 제작한 사파리 브라우저 등을 포함하여 다양한 소식으로 사람들을 즐겁게 하고 있습니다. 해킹 컴뮤니티에서는 아이폰을 해킹 대상으로 선정하고 있으며 다음과 같이 가장 선호하는 항목을 소개합니다.

1. 웹 브라우저 버그 찾기: 애플의 사파리 브라우저는 아이폰에서도 동작합니다. 최근 마이크로소프트 윈도우에서 실행되는 사파리 브라우저의 베타 버전 소개 이후 윈도우 버전 뿐만 아니라 맥 OS X 버전에서도 동일한 취약점이 발견되고 있습니다. 특히, 사파리 브라우저의 소스가 대부분 동일하다는 사실이 밝혀지면서, 해커들은  어느 하나의 운영체제에서의 취약점을 알아 내기위해 혈안이 되어 있습니다. 물론, 하나만 알아 내면 이를 통해  아이폰에서도 동일하게 적용할 수 있다는 것을 쉽게 알 수 있습니다.

2. 디버그 방법 찾기: 앞서 언급한 사파리 브라우저는 애플이 제공하지만 그 위에서 동작하는 다른 일반 애플리케이션은 누구나 제작할 수 있습니다. 애플은 아직 아이폰에서 돌아갈 수 있은 애플리케이션을 제작할 수 있는 소프트웨어를 제공하고는 있지 않습니다. 그 바람에 보안적 측면에서 볼 때, 해커들에게 많은 정보를 제공해 주지 않기 때문에 그 만큼 안전하다고 볼 수 있습니다. 안전하므로 사용자에게 많은 잇점을 준다고 볼 수 있습니다. 해커들이 익스플로잇 등을 작성하기 위해서는 컴퓨터의 메모리를 참조하는 등의 다양한 엿보기(!) 작업이 필요한데 이를 막으므로 좀더 공격할 수 있는 구실을 주지 않으므로 공격하는데 어려움을 줄 수 있다는 이유입니다. 하지만, 아이폰을 물리적으로 접근할 수 있고 특별한 장비가 있다면 얘기가 달라 지겠죠.

3. 아이폰의 네트워크 기술 샅샅이 훑기: 작년에 매킨토시에 관련되어 무선 장비에 관련된 버그가 나타난적이 있습니다. 이러한 버그는 아이폰에서도 충분히 사용가능한 것으로 알려지고 있으며 이는 무선 장비(블루투스)에서 일반적으로 나타나는 보안 문제점이라고 합니다.

그런데 중요한 뉴스 한가지가 더 있습니다. 바로 아이폰의 복구 이미지(Restore image, 펌웨어)가 인터넷 상에서 이미 공개되어 유포되고 있다는 소식입니다. 다행이도 이미지는 암호화되어 있지만 시간이 이를 해결해 줄 것입니다.  일반 사람은 별로 신경쓰지 않겠지만, MOD가 취미인 아마추어나 해커들은 이 이미지를 통해 아이폰의 내부 메카니즘을 충분히 알아 낼 수 있을 것입니다.

아이폰의 운영체제는 OS X라는 사실이 이미 알려져 있습니다. 아이폰의 복구 이미지는 아이폰 복구 패키지를 통해 다운로드가 가능합니다.

http://appldnld.apple.com.edgesuite.net/content.info.apple.com/iPhone/061-3538.20070629.B7vXa/iPhone1,1_1.0_1A543a_Restore.ipsw

확장자가 ipsw라는 신기한 것이지만 실제 zip으로 되어 있으므로 쉽게 풀 수 있습니다. 압축을 해제하면 시스템 소프트웨어 dmg와 사용자 소프트웨어 dmg로 구분되어 있습니다. 시스템 소프트웨어 dmg는 암호가 걸려 있는 상태입니다. zip의 암호는 무차별대입법(Brute-Force Attack)으로 충분히 깰 수 있으므로, 시간만 충분하다면 암호를 깨질 수 있다고 보여집니다.

이제 해커들이 시스템 소프트웨어 dmg의 내부를 살펴 보게 되면 손쉽게 MOD와 해킹이 가능해지게 될 것으로 예견할 수 있습니다.

그리고, 해커들이 예상하는 해킹 및 MOD의 유형을 간단히 소개해 드립니다.

• AT&T 네트워크 이외 네트워크에서 동작 - 아이폰은 AT&T 네트워크에서 동작하도록 구성되어 있지만, AT&T가 아닌 다른 네트워크에서 동작할 수 있도록 해킹
• 블루투스 A2DP 지원 - 원래 블루투스 헤드셋으로 음성을 들을 때에는 모노로 나오게 되는데, 마이크로소프트 모바일 AKU에서 새롭게 지원하는 A2DP는 음성을 스테레오로 들을 수 있게 해줍니다. 따라서, 음악 등을 들을 때 훨씬 나은 감상을 할 수 있습니다.
• MMS, 채팅 프로그램, 서드파티 프로그램, 위짓 지원
• 코덱 추가 지원 등

마지막으로 아이폰에 사용되는 CPU와 삼성이 만든 칩셋등이 소개되는 동영상을 소개합니다.
감사합니다.