보안 연구원들은 수천 개의 iOS 및 macOS 앱을 해킹할 수 있는 취약점을 오픈 소스 소프트웨어 프로젝트에서 발견했습니다.
이 위협은 프로그래머들이 기존 소프트웨어 라이브러리를 앱에 통합할 때 사용하는 CocoaPods와 관련이 있습니다. 그러나 현재 CocoaPods에는 10년 된 결함을 포함해 세 가지 심각한 취약점이 존재하며, 이를 악용해 CocoaPods에 의존하는 앱에 비밀리에 악성 코드를 주입할 수 있습니다.
이 위협이 특히 심각한 이유는 CocoaPods가 300만 개 이상의 앱에서 사용된다고 밝히고 있기 때문입니다. 이스라엘 기반의 E.V.A. 정보 보안 연구원들은 "모바일 앱 생태계에 대한 이러한 공격은 거의 모든 애플 기기를 감염시킬 수 있으며, 수천 개의 조직이 막대한 재정적 및 평판 손상에 취약해질 수 있다"고 경고했습니다.
세 가지 중 가장 심각한 결함은 CVE-2024-38366으로, 해커가 'Pods'라고 알려진 미등록 소프트웨어 패키지를 소유권 확인 과정 없이 장악할 수 있게 만든 방법이라고 보안 회사는 말합니다.
E.V.A. 정보 보안은 "이 시점에서 공격자는 소스 코드를 조작하거나 새로 클레임된 Pod에 악성 콘텐츠를 삽입할 수 있게 됩니다. 이 Pod는 많은 하위 종속성을 감염시키게 될 것입니다"라고 덧붙였습니다.
좋은 소식은 E.V.A. 정보 보안이 CocoaPods에 이 위협을 보고한 후 모든 취약점이 패치되었다는 것입니다. 수정 사항에는 코드 업데이트를 방지하기 위해 '모든 세션 키 삭제'가 포함됩니다.
그럼에도 불구하고 CocoaPods 개발자들은 해커가 이 결함을 악용하여 영향을 받은 앱에 비밀리에 변경을 가했는지 확실히 말할 수 없습니다. CocoaPods 프로젝트 유지 관리자는 블로그 게시물에서 "이 코드는 런칭 이후 트렁크(중앙 저장소)에 있었으며, 9년은 긴 시간입니다"라고 썼습니다.
이 소식은 오픈 소스 소프트웨어가 전체 소프트웨어 생태계에 얼마나 취약하게 영향을 미칠 수 있는지를 강조합니다. 이는 2021년 아파치 Log4j 2 결함과 같은 사례에서도 볼 수 있듯이 마찬가지입니다. 오픈 소스 프로젝트는 보통 자원봉사 프로그래머의 도움으로 유지되기 때문에 잠재적 해킹에 더 노출되기 쉽습니다.
이에 대응하여 구글과 백악관은 오픈 소스 소프트웨어 프로젝트의 보안을 강화하기 위한 노력을 추진하고 있습니다. E.V.A. 정보 보안은 이제 기술 산업이 CocoaPods와 같은 오픈 소스 도구에 대한 감독을 강화할 것을 촉구하고 있습니다.
보안 회사는 "오픈 소스 채택은 사실상 불가피하지만, 이는 또한 소프트웨어 공급망 공격의 위험을 증가시킵니다"라고 경고합니다. 그들의 블로그 게시물에는 CocoaPods 사용자가 자신의 코드를 안전하게 유지하기 위해 취할 수 있는 팁이 포함되어 있습니다.
※ 퀘이사존 공식 기사가 아닌 해외 뉴스/기사를 번역한 것으로, 퀘이사존 견해와 주관은 포함되어 있지 않습니다. |