문서의 임의 삭제는 제재 대상으로, 문서를 삭제하려면 삭제 토론을 진행해야 합니다. 문서 보기문서 삭제토론 macOS/보안 (문단 편집) == 보안 실패 사례(Pwn2Own) == [[http://cansecwest.com/post/2008-03-20.21:33:00.CanSecWest_PWN2OWN_2008//|CanSecWest Vancouver 2008]]에서 3일간의 일정으로 해킹 대회가 열렸다. 첫째 날에는 원격으로 해킹, 둘째 날에는 OS 기본 번들 소프트웨어만 공격, 셋째 날에는 OS의 응용 프로그램으로 공격하는 방식으로 이루어졌으며 날이 갈수록 난이도가 쉬워진다. 둘째 날에 웹 브라우저 취약점을 이용해 Mac OS X 10.5.2 Leopard가 뚫렸으며 마지막 셋째 날에 [[Windows Vista]] 얼티밋 SP 1이 뚫렸다. [[우분투]] 7.10은 끝까지 살아남았다[* [[http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=277&aid=0001962748|관련 기사]]]. 이에 관해 macOS의 보안성 문제로 한동안 시끄러웠지만 이는 과장된 감이 어느 정도는 있다. 네트워크를 통한 해킹만을 허용한 첫째 날에 뚫린 운영 체제가 없다는 점도 참고할 만하다[* 이 대회가 '''[[Microsoft]]에서 후원한''' 대회라는 점에서 다소 Windows가 허술하게 느껴지지만…….]. 다만 이것으로 macOS의 보안이 철통이 아니라는 사실은 입증된 것이다. 공격 코드를 심어놓은 사이트로의 링크를 보내고 링크를 클릭하자 '''관리자 권한 없이 macOS의 기본 번들 응용 프로그램인 계산기가 실행'''된 것인데 이는 너무나도 전형적이고 뻔한 보안 취약점의 발현 형태이다. 결론적으로 macOS는 본 대회에서 '''정상적인 룰로 완전히 패배'''했다. 변명의 여지가 없다. 우승자의 [[http://www.tomshardware.com/reviews/pwn2own-mac-hack,2254.html/|인터뷰]]에서 결국 보안이란 얼마나 많은 사람들이 그 시스템을 이용하고 있는지에 달렸다는 말을 한 바 있다. 또한 보안이란 운영 체제 자체보다 애플리케이션 레벨에서의 보안이 중요하다고 한다. 다들 대안 브라우저를 이용합시다. >'''Alan''': 만일 (보안성을 기준으로) Mac과 PC 혹은 리눅스를 선택해야 한다면 무얼 추천하시겠습니까? 아니면 다들 비슷하게 안전한가요? >'''Charlie''': 리눅스는 제 할머니도 사용하실 수 없었으므로 제외하도록 하겠습니다. Mac과 PC를 비교한다면 Mac은 위에서 말한 이유(온라인 방어 기제의 부족) 때문에 보안성이 낮으나 사용자 수가 적은 관계로 비교적 더 안전합니다. 현재로서는 일반 사용자들에게 Mac을 추천하겠는데 이것은 무언가가 사용자를 노릴 확률이 너무 낮기 때문에 Mac을 몇 년 사용하는 동안 맬웨어를 마주치지도 않을 가능성이 있기 때문입니다. 어떤 공격자가 사용자를 실제로 표적으로 삼는 경우 사용자가 좀 더 위험하게 될 지라도요. 그리고 2010년 6월 21일 [[Safari]] 5.0에서 보안 문제가 터졌다[* [[http://www.bloter.net/wp-content/bloter_html/2010/07/35464.html|관련 기사]]]. 자동 완성 기능을 악용해서 개인 정보를 빼내는 취약점이었는데, Safari 4.1.1과 5.0.1에서 문제는 해결되었다. 결국 2011 Pwn2Own 대회에서 보안 업데이트 이후의 Safari가 5초만에 [[http://www.9to5mac.com/55117/embarrassing-macbook-air-safari-5-0-4-pwned-at-hacking-contest-in-five-seconds/|털렸다]]. 다만 2만 달러의 상금에 [[크롬북]]까지 제시한 Chrome은 아직까지 건재하다. 2012년 Pwn2Own에서 Safari가 놀랍게도 [[제로 데이 공격]]으로 뚫리지 않았다! 웃기게도 이번 대회에서는 Chrome이 대회 시작 5분 정도에 해킹됐다.[* [[http://twitter.com/#!/Pwn2Own_Contest/status/177507645190705153|트위터 중계]]]. 이번 해엔 프랑스의 보안 전문 회사인 VUPEN에서 "결코 뚫리지 않는 브라우저는 없다."는 모토를 내세우며 Chrome만 주구장창 파고들었다고 한다. 결국 대회 전체에서 Chrome, Internet Explorer, 파이어폭스가 제로 데이 공격과 CVE로 탈탈 털렸고 Safari는 CVE로 두 번 뚫리는 것으로 그쳤다[* [[http://pwn2own.zerodayinitiative.com/status.html|Pwn2Own 2012 결과 페이지]]][* 그런데 사실 이 CVE라는 게 Common Vulnerabilities and Exposures라는 일종의 데이터베이스로 지금까지 발견되고 그 방법이 널리 알려진 취약점들만 모아놓은 것이다. 사실 이 놈이 더 위험하다고 봐야……하지 않을까 싶다.][* 그런데 구글이 이번 대회 직전 P2O에 대한 상금 등을 일방적으로 취소시키고 저 취약점을 인정하지 않겠다고 했다. VUPEN도 이에 대해 "이 취약점은 우리가 잘 팔아먹을 것이다."는 입장을 밝혔다. 결국 두 놈이 쌤쌤.]. 좀 더 자세한 내용은 [[PWN2OWN|Pwn2Own]] 항목 참조.저장 버튼을 클릭하면 당신이 기여한 내용을 CC-BY-NC-SA 2.0 KR으로 배포하고,기여한 문서에 대한 하이퍼링크나 URL을 이용하여 저작자 표시를 하는 것으로 충분하다는 데 동의하는 것입니다.이 동의는 철회할 수 없습니다.캡챠저장미리보기