애플 맥OS의 보호 장치 SIP, 오히려 공격자들에게 특별 권한 부여
애플 맥OS의 보호 장치 SIP, 오히려 공격자들에게 특별 권한 부여
마이크로소프트와 애플이 맥OS에서 발견된 중요한 취약점을 해결하기 위해 손을 잡았다. 문제가 된 것은 애플 맥OS의 보안 장치 중 하나인 ‘시스템무결성보호(System Integrity Protection, SIP)’였다.
www.boannews.com
- SIP(System Integrity Protection)란?
- macOS의 주요 보안 장치로, 운영체제의 민감한 영역을 보호
- 주요 기능
- 임의 커널 드라이버 로딩 방지
- NVRAM 변수 변경 제한
- Apple 서명 프로세스의 작업 포트 접근 차단
- 커널 디버깅 비활성화
- 운영체제 구성 파일 수정 금지
- SIP 취약점(CVE-2024-44243)의 특징
- 공격자는 SIP를 우회하여 특별 권한(entitlement)을 획득 가능
- 특별 권한은 특정 프로세스에만 부여되는 고유 권한으로, 디지털 서명을 기반으로 함
- SIP 우회의 결과
- 서드파티 커널 플러그인 로딩
- 루트킷 설치
- 보안 정책 우회 및 지속적인 악성코드 실행
- 취약점 악용 방법
- SIP 정책이 NVRAM 변수로 제어됨: 변수 수정 시 SIP 무력화 가능
- 공격자는 macOS의
storagekitd데몬 및 디스크 관리 유틸리티를 악용- Disk Utility와 비슷한 방식으로 SIP 우회 과정을 자동화
- Apple 커널 확장 프로그램에 포함된 항목을 재정의하여 권한 탈취
- SIP 우회의 위험성
- macOS의 가시성 제한으로 탐지가 어려움
- 기존 보안 솔루션으로는 사전 탐지 및 차단이 거의 불가능
- 특별 권한 탈취로 고도화된 악성 행위(루트킷 설치, 지속적인 악성코드 실행 등)가 가능
- 애플 및 마이크로소프트의 대응
- 애플은 2024년 12월에 해당 취약점에 대한 패치 배포
- 마이크로소프트는 문제를 탐지하고, SIP 우회 과정을 분석 및 경고
- 보안 권고
- 취약점 사전 탐지 및 해결
- CVE-2024-44243와 유사한 취약점을 지속적으로 식별 및 수정
- 특별 권한 프로세스 모니터링
storagekitd와 같은 고권한 프로세스에 대한 지속적인 감시
- SIP 작동 상태 점검
- 다섯 가지 SIP 제한 사항이 제대로 유지되고 있는지 정기 확인
- 통합 보안 전략 적용
- 단일 솔루션보다는 다층 방어 체계를 통해 잠재적인 위협에 대비
- 취약점 사전 탐지 및 해결
- 결론
- SIP는 macOS의 강력한 보안 장치이지만, 취약점 악용 시 심각한 보안 위협으로 작용 가능
- 선제적 조치(취약점 패치, 프로세스 모니터링)와 통합적 보안 접근법을 통해 고도화된 위협에도 대비해야 함
- 기업과 개인은 최신 패치를 즉시 적용하고, 지속적인 보안 점검을 통해 macOS 환경을 안전하게 유지해야 함
'Kant's IT > Vulnerability' 카테고리의 다른 글
| Adobe 제품 보안 업데이트 발표 (0) | 2025.01.23 |
|---|---|
| 미국 CISA, BeyondTrust PRA/RS 및 Qlik Sense 취약점 KEV 카탈로그에 추가 (0) | 2025.01.23 |
| IBM Robotic Process Automation 취약점으로 인한 민감 데이터 유출 가능성 (0) | 2025.01.21 |
| Aviatrix Controller 취약점 악용: 백도어와 암호화폐 채굴 배포 사례 (0) | 2025.01.21 |
| Juniper Networks 취약점, 원격 공격자가 네트워크 공격 실행 가능 (0) | 2025.01.20 |