애플 운영체제의 보안과 취약점

iOS의 탈옥을 두고 해커와 애플은 끊임없이 공격과 방어를 반복하고 있다. 이 책은 과거의 유명한 탈옥툴인 Evasi0n 에서부터 현재 사용되는 Pangu와 iOS 11 버전 탈옥까지, 여러 유형의 탈옥 기법을 상세하게 분석한 연대기와 같다. 또한 애플 운영체제를 해킹으로부터 보호하기 위한 코드 서명, AMFI, 샌드박스 등의 보안 메커니즘을 심도 있게 다룬다.

[목 차]

1장. 인증

-패스워드 파일들(*OS)
-setuid와 setgid(macOS)
-Pluggable Authentication Module(macOS)
-opendirectoryd(macOS)
-LocalAuthentication 프레임워크
-Apple ID
-외부 계정
-참고 자료

2장. 감사

-설계
-감사 세션
-구현
-시스템 호출 인터페이스
-OpenBSM API
-감사 고려 사항
-참고 자료

3장. 권한 부여

-설계
-구현
-KAuth 인증 정보
-KAuth 신원 확인 서비스(macOS)
-KAuth 디버깅
-참고 자료

4장. 강제적 접근 제어 프레임워크

-배경
-MACF 정책
-MACF 설정하기
-MACF 콜아웃
-MACF 시스템 호출
-최종 노트
-참고 자료

5장. 코드 서명

-코드 서명 포맷
-코드 서명 요구 사항
-인타이틀먼트
-코드 서명 적용
-코드 서명 API
-참고 자료
-권한 부여

6장. 소프트웨어 제한(macOS)

-권한 부여
-authd
-게이트키퍼(macOS)
-libquarantine
-Quarantine.kext
-격리 저장소의 실제syspolicyd
-앱 위치 변경
-관리 중인 클라이언트(macOS)
-참고 자료

7장. AppleMobileFileIntegrity

-AppleMobileFileIntegrity.kext
-MACF 정책
-amfid
-프로비저닝 프로파일
-AMFI 신뢰 캐시
-AMFI User Client
-최종 노트
-참고 자료

8장. 샌드박스

-샌드박스의 진화
-앱 샌드박스(macOS)
-모바일 컨테이너(*OS)
-샌드박스 프로파일
-사용자 모드 API
-mac_syscall
-Sandbox.kext
-프로파일 평가
-sandboxd(macOS)
-참고 자료

9장. 시스템 무결성 보호(macOS)

-설계
-구현
-API
-참고 자료

10장. 개인 정보 보호

-투명성, 동의 및 제어
-고유 장치 식별자
-차등 개인 정보 보호(macOS 12/iOS 10)
-참고 자료

11장. 데이터 보호

-볼륨 레벨 암호화(macOS)
-파일 수준 암호화(*OS)
-mobile_obliterator
-KeyBags
-AppleKeyStore.kext
-키체인
-최종 참고 사항
-참고 자료

2부. 취약점과 익스플로잇 작업

12장. macOS 취약점

-10.1: ntpd 원격 루트(CVE-2014-9295)
-10.2: 루트 파이프 권한 상승(CVE-2015-1130)
-10.3: Kextd 레이스(CVE-2015-3708)
-10.4: DYLD_PRINT_TO_FILE 권한 상승(CVE-2015-3760)
-10.5: DYLD_ROOT_PATH 권한 상승
-11.0: tpwn 권한 상승 및/또는 SIP 무력화
-11.3 "Mach Race" 로컬 권한 상승(CVE-2016-1757)
-11.4: 로키하드의 Trifecta(CVE-2016-1796, 1797, 1806)
-최종 노트
-참고 자료

13장. 탈옥

-미신 타파
-탈옥 과정
-커널 패치
-커널 패치 보호
-iOS 탈옥의 진화
-참고 자료

14장. Evasi0n

-로더
-언테더
-커널 모드 익스플로잇
-애플 버그 수정
-참고 자료

15장. Evasi0n 7

-로더
-언테더
-커널 모드 익스플로잇
-애플 버그 수정
-참고 자료

16장. Pangu 7

-로더
-탈옥 페이로드
-언테더
-커널-모드 익스플로잇
-애플 버그 수정
-참고 자료

17장. Pangu 8

-로더
-사용자 모드 익스플로잇
-언테더
-애플 버그 수정
-참고 자료

18장. TaiG

-로더
-언테더
-커널 모드 익스플로잇
-애플 버그 수정
-참고 자료

19장. TaiG 2

-코드 서명 우회
-언테더
-커널 익스플로잇
-애플 버그 수정
-참고 자료

20장. Pangu 9

-로더
-탈옥 페이로드
-커널 모드 익스플로잇
-코드 서명 우회
-언테더
-Pangu 9.1
-애플 버그 수정
-참고 자료

21장. Pangu 9.3

-커널 익스플로잇
-애플 버그 수정

22장. 페가수스

-익스플로잇 흐름
-커널 메모리 읽기 및 KASLR 우회
-임의의 커널 메모리 쓰기
-지속성
-애플 버그 수정
-참고 자료

221/2장. 피닉스

-정보 유출
-영역 다듬기
-mach_ports_register
-조립 - Phoenix 부활
-애플 버그 수정
-참고 자료

23장. mach_portal

-익스플로잇 흐름
-Mach 포트 이름 urefs 처리
-powerd 충돌
-XNU UaF의 set_dp_control_port
-보호 기능 비활성화
-애플 버그 수정
-참고 자료

24장. Yalu(10.0~10.2)

-KPP 우회
-익스플로잇 이후의 작업
-10.2: 치명적인 함정과 재앙의 레시피
-최종 노트
-참고 자료

25장. async_wake & QiLin 툴킷(11.0~11.1.2)

-KASLR 우회
-커널 메모리 손상
-익스플로잇 이후의 작업: 탈옥 툴킷
-참고 자료
-에필로그: 앞으로의 예측

부록 A. macOS 보안성 강화 가이드

-반복해 패치하기
-로깅 및 감사
-사용자 수준 보안
-데이터 보호
-물리적 보안
-애플리케이션 수준 보안
-서드파티/오픈소스 툴 사용
-네트워크 보안
-편집증을 가진 사람들을 위해

부록 B. Darwin 18(베타) 변경 사항

-강제적 접근 제어 프레임워크(MACF)
-코드 서명
-게이트키퍼(macOS)
-AMFI
-샌드박스
-프라이버시
-APFS 스냅샷 마운트(iOS 11.3)
-하드웨어 변경 사항(A12와 이후의 프로세서)

부록 C. 용어 사전

[본 문]

나는 이 책의 독자가 이 책을 통해 단 한 가지, 역공학을 이해하는 데는 엄청난 분량의 자료가 필요하다는 것과 탈옥을 고안하는 데는 엄청난 노력이 필요하다는 것을 알게 되길 바란다. 공개 탈옥은 권리가 아니라 특권으로 각각의 탈옥은 연구자들이 (수백만 명은 아니더라도) 수십만 개의 제로 데이로 판매될 수 있었던 수많은 취약점을 공개하고, "불태워 재로 만든 후", 이후에 출시될 iOS에서 이러한 익스플로잇을 사용할 수 없게 만들었다. 탈옥을 연구하는 해커들을 비방하고 선동하며 노골적으로 거짓말을 퍼트리는 사람들이 있지만, 그들은 스스로를 갉아먹는 것이다.
('지은이의 말' 중에서)

오늘날 모바일 운영체제 시장은 iOS와 안드로이드가 시장을 양분하고 있다. 개인적으로 안드로이드보다 iOS 운영체제에서 모바일 애플리케이션 분석을 선호하지만, iOS 보안과 관련된 정보를 수집하는 작업은 마치 백사장에서 바늘을 찾는 것과 같다. 이러한 상황에서 iOS와 macOS의 궁금증을 해소해줄 단비와도 같은 책이 등장했다. 최근 iOS 11의 탈옥 툴인 'LiberiOS'의 제작자이자 온/오프라인으로 iOS 및 macOS에 관련된 양질의 정보를 제공해주던 조나단 레빈이 애플의 운영체제에 대한 심도 있는 내용과 기법을 담아 책을 출간한 것이다.
iOS가 안드로이드보다 안전한 운영체제라는 평을 받게 된 배경에는 애플의 강력한 하드웨어와 소프트웨어의 통제가 있다. 이 책의 전반부에서는 애플의 보안 메커니즘에 대해 상세한 분석을 제공한다. macOS와 iOS는 운영체제에서 많은 부분을 공유하며, 최근 등장한 watchOS도 iOS에서 파생됐기 때문에 이 책을 통해 애플의 운영체제에 적용된 보안 메커니즘을 파악할 수 있을 것이다.
이 책의 후반부에서는 애플의 견고한 보안 강화 조치를 무력화시키고 루트 권한을 획득하는 가장 극적인 해킹인 '탈옥'을 다룬다. 탈옥에 관심을 가졌던 독자라면 익숙한 Evasi0n, TaiG, Pangu의 탈옥 툴과 최근 구글 프로젝트 제로의 이안 비어가 공개한 탈옥 방법까지 다양한 iOS의 취약점과 익스플로잇의 상세한 분석 결과를 볼 수 있다.
책을 읽다 보면 저자의 전문성과 철학을 느낄 수 있을 것이다. 저자는 iOS와 macOS 운영체제의 심층 분석을 주제로 3부작 출간을 계획 중이며, 이 책은 시리즈 중, 마지막인 3권에 해당한다. 이 책은 난이도가 높지만, 상당한 분량을 할당해 내용을 자세하게 다루고 있다. 이 책을 읽고 나면 최신 트렌드를 어렵지 않게 파악할 수 있으며, 더 나아가 훌륭한 보안 연구가로 성장할 수 있을 것이다.
('옮긴이의 말' 중에서)

이 책에서 다루는 내용

- 인증, 인가 및(macOS) 감사
- 코드 서명
- 소프트웨어 제한(macOS) - 게이트키퍼, 정책 및 관리를 적용한 클라이언트
- AppleMobileFileIntegrity
- 샌드박스
- 시스템 무결성 보호(SIP)
- 개인 정보 및 데이터 보호

이 책의 대상 독자

현재 OS Internals의 3부작 중 일부지만, 독립적인 내용인 동시에 보안 중심으로 구성돼 있다. 따라서 보안과 관련된 내용을 원하는 독자에게 유용할 것이다.
1부는 macOS 관리자와 고급 사용자는 물론, 보안 연구자와 보안 감사인에게 적합하다. 내부 API를 문서화한 부분은 퍼징(fuzzing) 또는 (애플이 승인하지 않는) 해당 서브 시스템과 인터페이스하길 원하는 프로그래머가 기본적인 내용을 학습할 때 유용할 것이다.
2부는 저수준 분야와 기술적인 부분을 다루기 때문에 나이가 어린 독자, 심약자 또는 인텔 및/또는 ARM64 어셈블리에 심한 거부감이 있는 독자에게 부적합할 수 있다. 그러나 역공학을 선호하며, 해커지향적인 독자는 원하는 내용을 찾을 수 있을 것이다. 익스플로잇과 탈옥의 작동 방법에 대한 자세한 설명과 디버거 시퀀스를 이용한 단계별 상세 지시문 그리고 다수의 디스어셈블리를 제공한다.

이 책의 구성

1부는 macOS에서 시스템 보안 서비스를 제공하거나 시스템을 잠그기 위해 애플에서 사용하는 보안 메커니즘과 기술을 중점적으로 다룬다. 이들 대부분은 현재 모든 플랫폼에서 공통적으로 사용되고 있다(특히, 10.11). 하지만 OS는 여전히 애플이 가장 많이 투자하는 분야다.
1장에서는 기본적으로 macOS 함수인 인증을 다루며 시작한다. 오래 전부터 사용해온 master.passwd 파일을 다루지만, PAM(Pluggable Authentication Module)과 오픈 디렉터리(Open Directory)의 macOS 구현 그리고 NIS 및 마이크로소프트의 액티브 디렉터리와 같은 외부 도메인과의 통합을 중점적으로 다룬다.
2장에서는 사용자 또는 프로세스가 승인하거나 시도한 작업을 추적하고 자세한 로그 추적을 제공하는 감사에 대해 설명한다. macOS에서의 감사는 솔라리스(Solaris)에서 차용한 기능이며, 실제로는 기본적으로 사용하고 있지만 비교적 알려지지는 않았다. 감사를 통해 클라이언트(일반적으로 관리자 또는 모니터링 소프트웨어)는 모든 시스템 측면에서 크거나 작은 사용자 또는 커널에 대해 전례 없는 수준의 모니터링을 제공한다.
3장에서는 사용자 또는 프로세스(1장에서 인증)가 작업을 허용 또는 거부하는 권한 부여를 탐색해 AAA 삼위일체를 완성한다. 그리고 (커널 확장 기능에 대한 비공식적 지원으로 *OS에서는 실제로 사용할 수 없지만) KAuth**로 알려진 커널 프로그래밍 인터페이스(KPI, Kernel Programming Interface)를 다룬다.
4장에서는 권한 부여와 커널에 대해 자세히 다루며, TrustedBSD에서 차용한 강제적 접근 통제 프레임워크(MACF, Mandatory Access Control Framework)를 자세히 다룬다. MACF는 감사보다 훨씬 강력한 기능을 갖췄다. 감사는 어떠한 사실이 발생한 이후에 알림을 제공하지만, MACF는 실제로 작업에 개입해 허용, 거부, 수정할 수 있다. MACF는 기본적으로 *OS에서 모든 애플 보안의 기반을 제공해준다. 유감스럽지만 애플이 개인 KPI로 간주하는 KAuth를 능가하는 가장 강력한 인증 메커니즘이다.
5장에서는 코드 서명(macOS의 가장 직접적인 애플리케이션)에 대해 논의한다. MACF는 애플이 iOS 초창기부터 *OS를 적용 중이며, macOS에서도 매우 최근에 적용되기 시작했다. 애플의 OS가 코드 서명을 사용하는 유일한 운영체제는 아니지만, 구현 방식은 훨씬 더 발전됐다. 또한 코드 서명은 애플리케이션 수준 보안의 기초가 되는 인타이틀먼트와 함께 사용하고 있다.
6장에서는 macOS에서 특별히 사용하는 기능인 소프트웨어 제한 메커니즘에 대해 논의한다. macOS 게이트키퍼(GateKeeper)부터 macOS 대상 멀웨어(malware) 퇴치를 위해 애플이 10.7.5에서 도입했다. 게이트키퍼는 authd 및 syspolicyd와 같은 다수의 데몬과 격리 저장소(Quarantine)라는 특수 커널 확장 기능과 상호 운용된다. 그런 다음, 기업 환경과 자녀 보호(Parental Controls)에서 사용하는 macOS의 "관리 중인 클라이언트 확장 기능(Managed Client Extensions)"을 주제로 다룬다.
7장에서는 AppleMobileFileIntegrity 또는 AMFI에 대해 설명한다. 이름에 "모바일(mobile)"이 있지만, AMFI는 iOS 코드 서명 집행자로 시작해 macOS 10.10부터 사용됐으며, 10.11에서는"시스템 무결성 보호(System Integrity Protection)"로 더 큰 역할을 하고 있다. iOS와 macOS의 구현 방법을 MACF 정책, MIG 메시지 및 IOUserClient의 역공학을 통해 심층적으로 탐구한다.
8장에서는 애플 샌드박스와 애플이 처음으로 OS 10.5에서 사용하기 시작한 "안전벨트(SeatBelt)"라는 이름의 MACF의 애플리케이션에 대해 다룬다. 이후로 조금 단순하지만 사전 동의 opt-in 구현은 매우 발전해, iOS에서 강력한 감옥(jail)의 역할을 하고 있다. 샌드박스 적용에 대해 macOS의 "앱 샌드박스(AppSandbox)"를 통한 기초에서부터 강화된 iOS 구현에 이르기까지 설명한다. 프로필, 컨테이너 및 기타 빌딩 블록에 대한 자세한 내용은 macOS 10.11의 SIP와 iOS 10 플랫폼 프로필을 논의하기 위한 기반을 마련할 것이다.
9장은 macOS의 SIP에 대해 논의한다: 기초(AMFI와 샌드박스)에 대한 설명은 SIP는 단지 시스템 차원의 정책 정의일 뿐이다. iOS 9.x에는 없지만 SIP가 *OS에서도 등장하는 것은 시간 문제일 뿐이며, iOS 10의 플랫폼 정책은 이미 매우 강화됐다.
10장에서는 개인 정보 보호에 대해 다루는데, 이는 TCCd라는 작고 문서화되지 않은 데몬에 의해 처리된다. 데몬은 특정 앱이 어떤 스토어에 접근하는지 정의하고, 개인 TCC.--framework로 래핑된 XPC API를 제공하는 데이터베이스에 상주한다. 많은 소프트웨어 공급 업체가 소프트웨어를 설치한 장치를 식별하기 위해 수집을 시도하는 고유 식별자(특히, iOS의 경우)에 대한 추가 고려 사항을 다룬다.
11장은 데이터 보호에 중점을 두고 있으며, 구현 방식은 macOS와 나머지 OS에서 다르다. macOS 솔루션은 FileVault2를 통해 이뤄지며, CoreStorage와 함께 10.7에서 소개됐다. *OS 솔루션은 하드웨어 기반 키와 파일당 암호화 함수를 통해 암호화를 강화했다. CoreStorage는 애플의 새로운 파일 시스템인 APFS의 기능으로 대체됐다. 이 책은 1.4 버전쯤 돼서야 자리 잡았지만(이 번역서는 1.5.3 기준으로 했다), 이전 버전의 CoreStorage에 대한 논의를 제외하기로 결정했다. APFS의 상세한 분석은 2권에서 다룬다.
2부는 1부의 애플 엔지니어들이 최선의 계획을 기반으로 제작한 정교한 구조들이 예상과 다르게 작동한 방식에 대해 알아본다. 각 장에서는 macOS에서 악성 코드를 유발한 과거의 취약점 또는 iOS 탈옥에 대해 알아본다.
macOS의 취약점에 대해, 특히 10.10(각 부의 버전에서 중대한 변화를 갖는다)과 10.11을 괴롭혔던 몇 가지 취약점을 강조하고자 한다. iOS 취약점에 따른 탈옥을 시간 순서로 보여주기로 결정했다. 이러한 취약점과 해당 취약점의 익스플로잇를 보여주는 데 탈옥보다 더 좋은 것은 없다. 각 탈옥은 iOS(와 파생된 운영체제)를 족쇄에서 해방시킬 수 있도록 올바른 방식으로 여러 취약점의 익스플로잇을 활용한 정교하게 만들어진 모음집과 같다.
어떤 면에서 2부는 일종의 작은 "해커 핸드북"으로 생각할 수 있다. 그러나 이 책에서 제공하는 세부 수준과 깊이는 이전의 역공학 책과 보안 책보다 훨씬 자세하며 전례 없는 수준이다. 탈옥을 성공시킨 천재 중 몇 명을 개인적으로 알았지만, 그럼에도 간단하게 해결하고 싶은 충동에 저항하며, 연구자처럼 바이너리만으로 탈옥의 역공학을 수행했다. 이 과정에서 저자가 제작한 툴을 사용했으며, 이 책의 관련 웹 사이트에서 사용할 수 있다.
마지막으로, 부록에는 macOS 보안 강화 가이드가 포함돼 있다. 처음에는 그다지 좋지 않을 것이라 생각했지만, 세바스티안 볼프(Sebastien Volpe)의 질문을 통해 생각이 바뀌었다. macOS의 다양한 보안 기능에 대해 자세히 설명하고 취약점을 소개한, 이 책의 '비공식 요약본'이라 생각한다.

추천사

그동안 iOS 보안과 관련된 연구 자료들은 다른 플랫폼에 비해 구하기 어려웠다. 그러다 보니 관련 연구에 입문하기도 쉽지 않았다. 이 책은 이러한 미지의 영역을 들여다본다. 먼저 코드 서명, 샌드박스, KPP 같은 iOS/macOS의 보안 메커니즘들과 AppleMobileFileIntegrity와 같이 공식적으로 문서화되지는 않았지만 중요한 역할을 하는 보안 메커니즘을 살펴본다. 그 후 천천히 탈옥 도구들을 해부한다. 2013년에 등장한 Evasi0n(iOS 6)부터 2017년 이안 비어의 async_wake(iOS 11)에 이르기까지 탈옥이 어떻게 발전해왔는지 분석한다.
탈옥이 iOS의 여러 보안 메커니즘을 우회하기 위해서는 여러 취약점이 필요하다. 하지만 무조건 특정 단계를 따라야 하는 것은 아니며, iOS는 다양한 공격 벡터들을 갖고 있기 때문에 다양한 방법을 통해 탈옥할 수 있다. 이 책에서는 탈옥 개발자들이 어떤 영리한 방법으로 탈옥을 성취하는지 상세히 분석한다. 탈옥 도구들의 내부가 얼마나 복잡하고 정교한지, 어떤 취약점들로 커널을 공격하고 TrustZone의 커널 보호를 우회하는지, 그 취약점들이 나중에 어떻게 수정되는지 또 어떻게 잘못 수정되는지에 대해 설명한다. 이 책은 전체적으로 보안 메커니즘들과 그 메커니즘들이 어떻게 우회돼왔는지에 대해 자세히 알아봄으로써 연구에 필요한 많은 인사이트를 제공한다.
- 이정훈(@lokihardt)

조나단 레빈(Jonathan Levin)
10대부터 (좋은 의미의) 해킹을 시작했고, 1993년에는 2400 보(baud) 모뎀을 사용하는 XT에서 셀이 돌아가는 방식을 알아내기 위해 노력했다. 따로 배울 만한 곳이 없었기 때문에 감사 관련 매뉴얼(man) 페이지를 반복적으로 보며 독학해야 했다.
그 후 20년 동안 많은 변화가 일어났고 유닉스(UNIX)를 처음 시작해 리눅스를 사용 중이며, 윈도우와 OSX 또한 사용하고 있다. 보안 분야에서 시작해 수년간 컨설팅과 교육을 해오던 중, 보안이 내부 구조를 상세하게 파악하는 것임을 깨달았다. 마침내 좋은 사람들과 함께 테크놀로긱스닷컴(Technologeeks.Com)을 창업했다. 지금은 테크놀로긱스닷컴의 최고 기술 경영자(CTO)로 근무 중이다.
애플의 OS 관련 집필은 『Mac OS X and iOS Internals』(O'Reilly, 2012)로 시작했으며, 이 과정 속에서 도파민이 급격히 분비하는 짜릿함을 느낄 수 있었다. 이제는 중독됐으며, 안드로이드와 관련된 집필을 시작할 당시 알게 된 로니 페더부시(Ronnie Federbush)의 충고에 따라 처음으로 자가 출판을 감행했다. 이 작업은 원활하게 진행됐고, 『Mac OS X and iOS Internals』 1권을 처음 생각했던 방식으로 다시 집필할 수 있는 기회를 얻을 수 있었다. 출판사의 변덕을 피하고, 검열을 받지 않으며, 페이지 수와 예산에 신경 쓸 필요도 없었다. 그 결과 3부작 중 지금 여러분이 읽고 있는 새로운 『*OS Internals Vol.3』를 출간할 수 있게 됐다.

옮긴이 이진호
성균관대학교 컴퓨터교육과를 졸업한 후 기업은행, 금융결제원을 거쳐 금융보안원에서 일하고 있다. 보안 이외에도 다른 사람에게 지식을 전달하는 일에 관심이 많으며, 보안 관련 지식을 나누고자 번역을 시작했다. 에이콘출판에서 출간한 『디펜시브 시큐리티 핸드북』(2018), 『사물 인터넷 시대를 위한 보안 가이드』(2017), 『iOS Application Security』(2017), 『파이썬 모의 해킹과 침투 테스팅』(2015)을 번역했다.