🚨 Parallels Desktop Zero-Day 취약점: 루트 접근 가능! 7개월간 방치된 충격적인 사실

Parallels Desktop은 macOS에서 Windows, Linux 등 다양한 운영체제를 가상화할 수 있는 인기 소프트웨어입니다.
전 세계 약 700만 명이 사용 중이며, 특히 기업과 개발자들이 많이 사용하고 있습니다.

하지만 최근 Parallels Desktop에서 Zero-Day 취약점이 발견되었고,
루트 권한 탈취가 가능하며 PoC(Proof-of-Concept) 익스플로잇까지 공개된 상태입니다.
더 큰 문제는 7개월 동안 방치되었고, 공급업체의 대응 지연이 논란이 되고 있다는 것입니다.

이번 글에서는 취약점의 원인과 공격 방법, 공급업체의 대응 문제, 보안 대응 방안까지
초보자도 쉽게 이해할 수 있게 설명드리겠습니다. 😊

---

🔍 무엇이 문제인가?

1. Zero-Day 취약점이란?

• Zero-Day 취약점은 공급업체가 알지 못하거나 패치되지 않은 보안 취약점을 말합니다.
• 해커가 먼저 발견해서 공격에 악용할 수 있기 때문에 가장 위험한 취약점 중 하나입니다.

2. 이번 Zero-Day 취약점의 정체

• macOS 설치 프로그램을 Parallels Desktop에서 다시 패키징할 때 사용하는 스크립트에서 발생했습니다.
• 관리자 권한을 탈취할 수 있으며, 루트(root) 권한까지 획득할 수 있습니다.
• 루트 권한을 얻으면 시스템 전체 제어가 가능하고, 백도어 설치나 데이터 유출까지 할 수 있습니다.

---

⚠️ 취약점의 원인: 패치 우회(Patch Bypass)

1. 이전 취약점과의 연관성

• 이번 취약점은 CVE-2024-34331에 대한 패치 우회(Patch Bypass)에서 시작되었습니다.
• CVE-2024-34331는 로컬 권한 상승(Local Privilege Escalation) 취약점으로,
  CVSS 점수 9.8/10으로 치명적(Critical)인 취약점입니다.
• Intel 기반 Mac에서 Parallels Desktop을 사용하는 모든 버전에 영향을 미쳤습니다.

2. 패치 과정에서 발생한 문제

• 우크라이나 보안 연구원 미콜라 그리말류크(Mykola Grymalyuk)이
  버전 19.2.1에서 취약점을 발견하고 Parallels에 보고
• Parallels는 2024년 3월에 버전 19.3.0을 배포하며 패치를 적용했습니다.
• 하지만 패치 우회 방법이 존재했고, 취약점이 여전히 남아있었습니다.
• 결국, 4월 말에 버전 19.3.1에서 완전한 수정이 이루어졌습니다.

---

💣 공격 방법: 두 가지 우회 기법

1. TOCTOU(Time-of-Check to Time-of-Use) 공격

• TOCTOU는 확인 시점(Time-of-Check)과 사용 시점(Time-of-Use) 사이의 시간 차이를 악용하는 기법입니다.
• 예를 들어, Apple 바이너리가 정상임을 확인한 후, 사용하기 전에 악성 코드로 교체합니다.
• Parallels Desktop은 확인 시점에는 정상 파일로 인식하지만,
  사용 시점에는 악성 파일이 되어 코드 실행이 가능합니다.

2. 악성 동적 라이브러리 주입(Dynamic Library Injection)

• Apple 바이너리에 악성 동적 라이브러리를 주입하여 검증을 우회하고 악성 코드를 실행합니다.
• 동적 라이브러리 주입은 공유 라이브러리를 로드할 때,
  라이브러리 경로를 변조하여 악성 라이브러리가 로드되도록 합니다.
• 이를 통해 검증 과정을 통과한 뒤에도 악성 동작을 수행할 수 있습니다.

---

⏰ 7개월간 방치된 이유: 공급업체 대응 지연

1. 취약점 보고와 무응답

• 보안 연구원 미키 진(Mickey Jin)은 2024년 7월에 Parallels 보안팀에 취약점을 보고했습니다.
• 하지만 7개월 동안 어떠한 응답도 받지 못했고, 취약점 수정도 이루어지지 않았습니다.

2. 미키 진의 폭로

"Parallels가 귀먹은 척, 벙어리인 척 하고 있으니, Zero-Day 익스플로잇을 공개할 수밖에 없었다." — 미키 진

• 공급업체의 무응답에 좌절한 진은 2025년 2월 20일에 Zero-Day 취약점을 공개적으로 폭로했습니다.
• 이에 따라 PoC(Proof-of-Concept) 익스플로잇이 공개되었고, 공격자들이 이를 악용할 가능성이 높아졌습니다.

---

🔐 보안 권고 및 대응 방안

1. 패치 적용 및 업데이트 대기

• Parallels Desktop은 현재 완벽한 패치가 없는 상태입니다.
• 공식 웹사이트 및 보안 공지를 주기적으로 확인하여 패치 배포 여부를 확인하세요.
• 패치가 배포되면 신속히 업데이트하고 보안 패치 노트를 확인하세요.

2. 일시적 완화 조치

• Parallels Desktop에서 macOS 설치 프로그램을 다시 패키징하지 마세요.
• 관리자 권한을 필요로 하는 작업은 제한된 사용자 계정에서 실행하세요.
• Zero Trust 보안 모델을 적용하여 모든 접근 요청 검증 및 권한 최소화를 실천하세요.

3. 보안 모니터링 및 탐지

• SIEM(Security Information and Event Management) 도입하여 이상 징후 탐지
• XDR(Extended Detection and Response) 솔루션을 사용하여 루트 접근 시도 모니터링
• Mac 보안 소프트웨어 설치 및 네트워크 트래픽 분석

---

✅ 결론 및 앞으로의 전망

Parallels Desktop Zero-Day 취약점은 7개월 동안 방치되며 공급업체의 대응 지연에 대한 논란을 낳았습니다.
Zero-Day 공격의 증가로 인해, 보안 취약점 관리와 신속한 패치 적용이 더욱 중요해졌습니다.