애플 개발툴 노린 악성코드 변종 주의

컴퓨팅입력 :2015/11/09 17:20

손경호 기자

애플개발자들이 사용하는 개발툴인 'X코드(Xcode)'를 조작해 악성행위를 할 수 있게 하는 일명 'X코드고스트(XcodeGhost)'의 변종이 유포되고 있어 주의가 필요하다.

X코드고스트는 애플 앱스토어나 애플 개발자 웹사이트가 아니라 중국 웹포털인 바이두 등에서 X코드를 사칭해 유포돼 왔다. 지난 9월 문제가 발견된 이후 애플은 앱스토어에서 해당 툴로 만들어진 앱을 차단조치하고, iOS9에서 대응조치를 취했지만 최근들어 다시 변종이 출현하고 있는 것으로 확인됐다.

파이어아이에 따르면 초기 대응 이후에도 210개 기업 네트워크에서 X코드고스트로 제작된 애플리케이션이 사용되고 있는 것을 발견했으며, 이들 앱이 2만8천회 이상 공격자가 명령을 내리거나 유출된 데이터를 저장하는 C&C서버로 연결을 시도했다.

X코드고스트를 통해 악성코드에 감염됐던 앱들.

새롭게 발견된 변종인 'X코드고스트S'는 iOS9 최신버전에서 탐지체계를 우회할 수 있는 것으로 나타났다. 애플은 iOS9의 사용자-서버 접속 보안을 강화하기 위해 '앱 트랜스포트 시큐리티(ATS)' 기능을 제공해 특정 암호를 가진 http 프로토콜에 대해서만 접속을 허용했다. 이러한 접속 제한으로 기존의 X코드고스트 버전은 http를 통한 C&C서버와 통신이 불가능하게 됐다.

그러나 애플이 개발자들이 앱의 'info-plist'에서 예외를 추가하면 http 접속을 허용할 수 있게 되는 것으로 분석됐다. 이를 통해 해당 앱이 C&C서버에 접속하도록 허용할 수 있다는 설명이다.

파이어아이는 모바일위협분석플랫폼(MTP)를 통해 X코드고스트S를 통해 악성코드에 개발된 앱을 탐지했다고 밝혔다. 이 앱은 '자유방(自由邦)'이라 불리는 여행자용 쇼핑 앱으로 미국과 중국 앱스토어에서 다운로드 할 수 있었으나 현재는 차단됐다.

관련기사

파이어아이 동적위협인텔리전스(DTI)에 수집된 자료에 따르면 감염된 앱은 152개에 달하며 '왕이윈음악(?易云音?)'과 '위챗' 등 중국 기반 앱이 상당수를 차지했다. 대부분의 앱 업체들이 해당 앱을 최신 버전으로 업데이트했음에도 불구하고 아직까지 많은 사용자들은 구버전을 사용하면서 문제가 될 수 있다는 설명이다.

파이어아이 코리아 전수홍 지사장은 "X코드고스트에 감염된 앱이 기업 네크워크에서 대량 발견된 만큼, 기업보안을 위해 임직원들은 모든 앱을 최신 버전으로 업데이트 해야 한다"고 밝혔다. 이어 "애플이 차단했던 앱의 경우, 해당 앱을 제거한 뒤에 앱스토어에서 다시 다운로드해 설치해야한다"고 덧붙였다.