작년 WWDC 컨퍼런스에서 애플은 macOS의 커널 확장(KEXTs)를 더 이상 사용하지 않고 시스템 확장(system extensions)이라는 새로운 메커니즘으로 대체할 것이라는 계획을 발표했다.

이 발표 내용 따른 첫번째 단계는 2019년 9월 맥OS 카탈리나(Catalina) 10.15.0의 출시와 함께 커널 확장을 이을 시스템 확장을 소개한 것이다.

마지막 단계는 몇 주안에 출시될 맥OS 카탈리나 10.15.4에서 적용되는 것이다.

애플에 따르면 맥OS 10.15.4부터 커널 확장을 사용하면 소프트웨어에 더 이상 사용되지 않는 API가 포함되어 있다는 알림 메시지가 표시되고 사용자 및 개발자에게 대안을 요청하도록 요구할 것이다.

커널 확장과 시스템 확장은 모두 같은 목적으로 사용된다. 사용자는 맥OS의 기본 기능을 확장하는 응용 프로그램을 설치할 수 있다. 응용 프로그램은 macOS에 기본 기능이 없는 작업을 수행할 수 있도록 커널/시스템 확장을 설치한다. 안티바이러스 소프트웨어, 방화벽, VPN 클라이언트, DNS 프록시, USB 드라이버 등은 모두 커널 확장을 사용한다.

두 가지의 확장 시스템의 차이점은 이전 커널 확장은 macOS 커널 수준에서 코드를 실행하는 반면 새로운 시스템 확장은 보다 엄격하게 제어되는 사용자 공간에서 실행된다는 것이다.

잼프 수석 보안 연구원이자 유명 macOS 보안 전문가 패트릭 와들(Patrick Wardle)은 "애플의 관점에서 보면 macOS의 보안 향상을 향한 주요 단계이다. 타사 커널 확장은 macOS를 겨냥한 공격자에게 공격 경로를 제공할 수 있다. 특히 공격자가 커널 확장을 악용하거나 자체 서명된 것으로 로드할 수 있다."라고 설명했다. KEXT와 관련된 공격은 과거에 실제로 발생했었다.

와들은 "실제로 macOS에서 게임은 끝났다. 많은 보안 메커니즘이 커널에서 구현/강화된다."며 과거와 같은 공격들이 사용자 모드에서 실행될 때 시스템 확장에서 작동하지 않을 것이라고 설명했다.

그는 또 "커널에서 실행되지 않기 때문에 KEXT 익스플로잇에서와 같이 더 이상 커널 모드 액세스를 제공하지 않는다. 애플은 기본적으로 보안 상의 이유로 커널에서 모든 사람들을 쫓아 내고자 한다."고 덧붙였다.

그러나 와들은 이러한 움직임에도 단점이 있다고 말한다.

첫번째는 애플이 커널에서 앱 개발자를 쫓아 내면서 iOS를 통해 제어하는 것과 비슷한 방식으로 macOS를 훨씬 더 많이 제어하고 싶어한다는 것이다.

지금까지는 macOS는 개발자와 사용자에게 편안했었다. macOS에 특정 기능이 없는 경우 개발자는 앱을 만들고 커널 확장을 활용하여 필요한 기능을 추가할 수 있었다.

두번째 단점은 많은 보안 도구 자체가 사용자의 맥에 제공하는 전체 액세스 커널 확장 기능에 크게 의존하고 구축되었다는 것이다. 시스템 확장으로의 애플의 움직임이 중립적인 보안 제품들을 종료할 수 있고, 이로 인해 멀웨어를 감지하고 차단하는 기능이 일부 손실될 수 있다.

그러나 많은 무료 macOS 보안 도구 개발자인 와들은 “애플이 타사 보안 도구에 필요한 기능을 제공하는 훌륭한 사용자 모드 프레임워크"를 제공했다고 설명했다.

그러나 당분간 시스템 확장이 커널 확장과 같은 다목적성과 코딩의 자유도를 제공할 수 있는지는 확실하지 않다. macOS 개발자가 시스템 확장으로 천천히 전환하려면 더 많은 시간이 필요하다.

와들은 이번 애플의 움직임에 대해 다른 이유와 상관없이 전반적으로 macOS 보안에 좋은 방향이라고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★