Security

맥OS의 안전 장치 우회해 민감 데이터 유출 가능

문가용 기자

29 Jul 2025 — 6 min read

💡

Editor's Pick
- 맥OS 세쿼이아 사용자, 15.4 이상 버전으로 업데이트 필요
- TCC라는 보안 장치 우회 가능성 발견돼
- 아이클라우드에까지 영향 줄 수 있는 취약점

맥OS의 TCC에서 데이터 유출 취약점이 발견됐다. MS의 연구원들이 발견해 제보한 것으로, 현재는 해결된 상태다. 아직까지는 이 취약점으로 인한 피해 상황은 보고되지 않고 있지만, 원래 취약점이 보고되고서 곧바로 사건이 터지지는 않아 더 지켜봐야 한다.

TCC는 ‘투명성, 동의, 제어(Transparency, Consent and Control)’의 준말이다. 일종의 프레임워크로, 앱이 민감한 데이터나 시스템 자원에 접근할 때 명시적인 사용자 동의를 요구한다. 개인정보 보호를 위한 시스템이라고 할 수 있다. 이것을 우회하게 되면 보호되는 파일과 정보를 탈취할 수 있게 된다.

문제의 취약점은 CVE-2025-31199로, 애플 측은 3월 맥OS 패치를 통해 이를 해결했다. 문제가 사라진 버전은 맥OS 세쿼이아 15.4 버전이다. 사용자들 중 아직 오래된 세쿼이아를 유지하고 있다면 조속한 업데이트가 요구된다.

스포트라이트

맥OS용 검색 도구인 스포트라이트(Spotlight)는 파일 색인 작업을 위해 .mdimporters라는 플러그인을 활용한다. 이 플러그인은 샌드박스 환경에서 실행되면서 동시에 높은 권한의 파일에도 접근할 수 있다. 공격자가 이 플러그인을 조작하면 TCC를 우회할 수 있다는 게 이 취약점의 핵심이다.

“스포트라이트는 색인을 위해 민감한 파일에 접근해야만 합니다. 하지만 이는 바람직한 일이 아니죠. 그래서 애플은 샌드박스를 통해 이 권한이 남용되는 걸 막습니다. 최신 맥OS의 경우, 스포트라이트가 스캔 중인 파일 외에는 읽기와 쓰기조차 되지 않습니다. 그것만으로 충분한 게 일반적이죠. 하지만 충분한 거지 완벽한 건 아니었습니다. 악의만 갖추고 있다면 비공개 파일까지 열람할 수 있습니다.” MS의 설명이다.

“TCC를 우회하면 다운로드(Downloads)나 사진(Photos) 폴더와 같은 민감한 파일을 읽을 수 있기도 합니다.” MS의 설명이다. “서명되지 않은 플러그인의 메타데이터를 조작하고, 스포트라이트가 이를 로딩하도록 강제한다면 공격자는 TCC 권한 없이 비공개 파일의 내용을 열람할 수 있습니다.”

MS는 이를 입증하기 위해 개념 증명 도구를 개발하기도 했다. 이름은 스플로이트라이트(Sploitlight)다. “저희는 이 도구를 활용해 그림(Pictures) 폴더에 저장된 캐시 파일에 접근하는 데 성공했습니다. 이 폴더에 저장된 캐시 파일을 통해서는 GPS 위치, 타임스탬프, 기기 정보, 얼굴 인식 데이터, 활동 기록, 공유 앨범 정보 등을 알아낼 수 있었습니다. 삭제된 미디어 메타데이터에도 접근 가능하고요. 이런 메타데이터들은 아이클라우드를 통해 동기화 되기 때문에, 다른 애플 기기들에서 수집된 정보에 대해서도 접근 가능성이 생깁니다.”

애플은 이 제보를 접수하여 데이터 확인 및 플러그인 처리 방식을 개선했다고 알렸다. 현재 애플은 모든 맥OS 세쿼이아 사용자들에게 업데이트를 푸시하는 중이다. 이를 받아 적용하는 게 현재 사용자들이 할 수 있는 가장 좋은 대처다.