맥OS 하이 시에라 'root' 취약점··· 암호 없이도 ‘관리자’ 접속 가능

Macworld
맥OS 10.13.1의 치명적인 보안 취약점이 공개됐다. 패스워드를 입력하지 않고도 맥에 ‘root’로 로그인할 수 있는 것으로 나타났다.

개발자 레미 오한 어진은 트위터를 통해 "누구나 맥에 ‘루트’라는 사용자명을 입력하고 패스워드를 넣지 않고도 로그인할 수 있다. 처음 로그인할 때는 작동하지 않지만 다시 시도하면 로그인된다”라고 밝혔다. 애플의 기술지원 문서에 따르면, 루트(root)는 시스템 영역 접속 권한을 갖는 최고사용자다. '시스템 관리자’로 더 널리 알려져 있다.

맥월드는 맥OS 10.13.1이 설치된 맥북 프로에서 실제로 이를 테스트해 봤다. 실제로 오한 어진이 지적한 대로 작동했다. 이 문제는 다른 사용자 명으로 맥에 로그인한 이후에 작동하는 것으로 보인다. 이번 테스트에서는 맥 시작시 나타나는 사용자 로그인 화면에서 ‘root’와 패스워드를 사용하도록 설정하지 않은 채 진행됐다.

이에 대해 애플은 이매 해당 문제를 파악하고 있다고 밝혔다. 애플 관계자는 “현재 수정 작업을 진행중이다. 그 전까지는 루트 패스워드를 설정하면 승인없이 root로 접속하는 것을 막을 수 있다. 루트 사용자를 활성화한 후 안내에 따라 패스워드를 설정하면 된다”라고 설명했다.

루트 보안 이슈를 수정하는 방법
이 보안 취약점은 다음 맥OS 하이 시에라 업데이트에서 수정될 것으로 보인다. 이 전에 이를 수정하는 방법은 루트의 패스워드를 바꾸는 것이다. 구체적인 절차는 다음과 같다.

1. 파인더에서 이동 메뉴 중 ‘폴더로 이동’을 클릭한다.



2. ‘/System/Library/CoreServices/Applications/’를 입력하고 ‘이동’ 버튼을 누른다.
3. 디렉터리 유틸리티 앱을 실행한다.



4. 아래 왼쪽의 자물쇠 아이콘을 클릭해 수정할 수 있는 상태를 만든다. 팝업 창이 나타나면 사용자명과 패스워드를 입력한 후 ‘구성 수정’을 클릭한다.
5. 메뉴 바에서 ‘Root 암호 변경’을 클릭한다.
6. 팝업 창이 나타나면 패스워드를 입력하고 확인을 누른다.
7. 디렉터리 유틸리티의 메인 창에서 자물쇠를 클릭해 다시 수정할 수 없는 상태로 되돌린다.
8. 디렉터리 유틸리티를 종료한다.

이제 로그인시 패스워드 없이 ‘root’라고 입력하면 프롬프트가 흔들리면서 로그인이 거부된다. root 계정으로 계속 진행하려면 새로 설정한 암호를 입력해야 한다. ciokr@idg.co.kr