Offcanvas

모바일 / 보안 / 애플리케이션

“올 블랙햇에 애플 등장할까”••• 참석자들의 관심 집중

2012.07.27 Antone Gonsalves  |  CSO
이번 주 라스베이거스에서 열린 보안 컨퍼런스에서 애플의 공식적인 첫 등장에 참가자들이 기대가 한껏 부풀었다.

애플의 플랫폼 보안팀 매니저 달라스 드 애틀리는 iOS, 아이폰, 아이패드에서 사용되는 운영 체제에 보안 기술을 논의하기 위해 연사로 나서게 된다. 블랙 햇 대변인 나탈리아 보데키는 "모든 사람이 흥분속에서 기다리고 있다"라고 밝혔다.

지난 15년간 라스베이거스에서 개최된 블랙햇에 애플이 참석하기로 했던 것은 이번 행사 이외에 지난 2008년이 유일하다. 당시에는 애플의 마케팅 부서가 마지막 순간에 가서 참석을 취소한 것으로 알려졌다.

"애플에서 마케팅의 승인없이는 아무도 연사로 나설 수 없다는 결론은 블랙햇 2012에서도 재확인될 것이다. 마케팅이 지금 논의 중이다"라며 블랫햇의 제너럴 매니저 트레이 포드가 지난 수요일 이메일로 보낸 성명서에서 밝혔다.

애플은 항상 보안에 대한 접근방식에 대해 아무것도 말하지 않았다. 심지어 애플이 주요 기능 개선을 구현할 때조차도 언급하지 않았다. 예를 들어, 애플은 지난해 iOS를 위한 ASLR(address space layout randomization)을 추가했다. ASLR은 해커들이 메모리 관련 취약점을 악용하는 것을 더욱 어렵게 만들면서 무작위로 핵심 데이터 영역의 위치로 배열하는 것이다.

시만텍은 애플이 지난 4월 60만대 이상의 맥을 감염시킨 플래시백 봇넷 때문에 블랙햇에 참석하게 된 것 같다고 밝혔다. 플래시백은 해킹 방지 제품을 가진 애플의 이미지를 손상시킨, 맥에서 발견된 최초의 악성코드다.

플래시백 외에도 맥 사용자들에게 전달된 악성 코드들이 더 있는 것으로 조사됐다. 바이러스 업체 소포스Ã'Â (Sophos.Ã'Â)에 따르면, 10만 대의 맥을 보안 검사한 결과 3%가 맥에서 활동할 수 있는 악성 코드에 감염된 것으로 나타났다. 윈도우 악성코드가 포함된 악성 코드의 일부 유형이 발견된 맥은 5대 중 1대인 것으로 조사됐다.

맥 공격의 우선 대상이 되면서, 해커들은 iOS에 주시하게 됐다. 이번 달, 카스퍼스키랩은 원격 서버에 대한 사용자의 주소록을 업로드한 iOS 트로이목마를 찾아냈다고 밝혔다. "파인드앤콜(Find and Call)이라는 애플리케이션으로 가는 URL로 스팸 메시지들이 서버에서 접속중인 사용자들에게 전달됐다.

iOS의 대한 애플의 보안 접근 방식은 통제될 수 있었다. 애플이 심사를 거친 전용 애플리케이션만이 자사 앱스토어에서 판매할 수 있기 때문이다.

맥 OS X의 최신 버전인 마운틴 라이온에서 애플은 PC와 호환될 수 있는 하이브리드 접근법을 취하고 있다. 수요일에 발표된 마운틴 라이온에는 게이트키퍼(Gatekeeper)라는 보안 기능이 들어 있는 것으로 알려졌다.

마운틴 라이온의 구성 요소는 세 가지 보안 모드를 고객에게 제공하게 된다. 첫째, 맥 사용자의 허가에 따라 모든 소스로부터 어떤 애플리케이션을 설치해 이전처럼 사용할 수 있다. 둘째, 애플의 맥 앱스토어나 애플의 승인을 받은 개발자들의 앱들만 설치하게 하는 것이다. 마지막 옵션은 맥 앱스토어에서 다운로드한 모든 애플리케이션의 설치를 제한하는 것이다.

수 년 동안 해커들은 시장 점유율이 낮은 애플의 제품보다는 마이크로소프트 윈도우 PC를 집중 공격했다. 애플이 아이폰과 아이패드의 판매에서 성공하면서 세계에서 가장 가치 있는 기업으로 성장했고 이 제품들은 사이버 범죄자들의 잠재적인 공격 대상이 됐다.  ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.