애플개발자 노린 악성코드 'X코드고스트' 주의

게이트키퍼 설치해 악성여부 확인해야

컴퓨팅입력 :2015/09/24 10:37    수정: 2015/09/24 17:10

손경호 기자

최근 중국 내에서 맥 OS X, iOS용 애플 애플리케이션 개발자들이 사용하는 개발툴인 'X코드(Xcode)'에 악성코드를 심어 악성앱을 만들어 올리는 수법이 공개되면서 주의가 필요하다.

가장 근본적인 대책은 애플 앱스토어나 애플 개발자 웹사이트에서 정식으로 배포하는 X코드를 받으면 되지만 중국 현지에서는 다운로드 속도가 느린 탓에 바이두 등을 통해 로컬스토리지에서 해당 다운로드를 받고 있다. 이 과정에서 일명 'X코드고스트(XcodeGhost)'라고 불리는 악성코드가 숨겨진 X코드가 등장하기 시작한 것이다.

현재 중국 보안전문가들에 따르면 중국 내에 유통되고 있는 악성코드에 감염된 앱이 4천개 이상에 달한다. 애플은 개발자들과 협력해 감염된 상태로 앱스토어에 올라왔던 앱들을 정상적인 X코드 버전을 사용해 바꾸는 작업을 하는 중이다. 위챗, PDF리더, 윈집, 포켓 스캐너, 캠카드 등이 대상이 됐다.

애플 개발자들을 위한 앱 개발툴을 사칭한 X코드고스트가 설치됐는지 여부를 확인하기 위해서는 게이트키퍼가 반드시 설치돼 있어야 한다ㅏ.

애플은 "(X코드고스트가 사용되지 않도록) 반드시 맥 앱스토어나 애플 개발자 웹사이트에서 X코드를 직접 다운로드해야 한다"며 "조작된 소프트웨어로부터 시스템을 보호하기 위해 '게이트키퍼' 기능을 사용해야 한다"고 조언했다.

게이트키퍼는 애플이 2012년에 OS X를 위해 도입한 것으로 대상 앱의 악성여부를 확인하는 역할을 한다. 일각에서는 이 역시 우회가 쉬워 보안성이 높지 않다는 지적이 나오고 있으나 없는 것 보다는 낫다. 개발자들이 자신들이 만든 앱에 애플이 제공하는 개발자ID를 통해 사인하는 과정을 거쳐야 앱을 쓸 수 있게 하고 있기 때문이다. OS X 10.10.5 요세미티에서는 게이트키퍼가 기본 설정된 환경에서 작동한다.

이에 대해 애플은 "앱스토어로부터 X코드를 다운로드 받을 때 OS X는 자동으로 X코드의 코드 시그니처를 확인한다. 해당 코드가 애플이 전자서명한 경우에만 허용한다. 만약 애플 개발자 웹사이트로부터 X코드를 다운로드받았을 때도 마찬가지로 코드 시그니처가 자동으로 게이트키퍼를 통해 확인하는 과정을 거친다"고 설명했다.

만약 애플 앱스토어나 애플 개발자 웹사이트 외에 USB드라이브나 로컬네트워크 등을 통해 X코드를 다운로드 받았을 경우 게이트키퍼가 작동되는 환경에서 'spctl --assess --verbose /Applications/Xcode.app'를 실행하면 된다.

관련기사

그럼에도 불구하고 중국 개발자들이 여전히 속도가 낮아 X코드 다운로드 자체가 어려운 애플 공식 웹사이트 대신 바이두와 같은 현지 사이트를 통해 X코드를 다운로드받고 있는 실정이다. 따라서 중국 현지에 애플이 직접 X코드 다운로드를 위한 로컬서버 등을 구축하지 않는 이상 문제는 쉽게 해결되지 않을 전망이다.

캠카드는 추가적인 확인 결과, 중국 내에서만 유통되고 있는 캠카드 버전 6.5.1 이외에 한국을 포함해 미국, 일본 애플 앱스토어에서 제공되고 있는 캠카드 버전 5.5.2 등은 X코드고스트의 영향을 받지 않았다고 해명했다.