2024-03-28 22:25 (목)
iOS 타깃 악성코드 ‘엑스코드고스트’ 변종, 추가 감염 주의
상태바
iOS 타깃 악성코드 ‘엑스코드고스트’ 변종, 추가 감염 주의
  • 길민권
  • 승인 2015.11.09 14:00
이 기사를 공유합니다

애플 조치에도 불구 iOS 타깃 악성코드, ‘엑스코드고스트’ 활동 계속해서 포착
지난 9월 논란이 됐던 iOS악성코드 엑스코드고스트(XcodeGhost)가 애플의 후속 조치에도 불구하고 최신 버전 iOS까지 영향을 미치는 변종이 출현하는 등 계속해서 활동하고 있는 것으로 조사됐다.
 
파이어아이에 따르면, 210개의 기업 네트워크에서 엑스코드고스트에 감염된 애플리케이션이 작동된 것을 발견했으며, 약 2만8천번이 넘는 CnC(Control-and-Command) 서버로의 연결 시도가 감지됐다고 전했다.
 
지난 9월 엑스코드고스트 감염 사태 이후 애플은 감염된 앱을 앱스토어에서 차단하는 조치를 취했다. 하지만 파이어아이는 애플의 후속 조치에도 불구하고 악성코드가 미국 기업 네크워크로 침입하여 지속적인 보안 위협을 가하고 있으며, 그 봇넷(Botnet)의 일부 역시 아직까지 활동하고 있다고 전했다. 또한, 엑스코드고스트S(XcodeGhost S)라 불리는 변종 악성코드에 의한 침해 사례가 추가로 발견됐는데 이는 iOS9에까지 영향을 미치는 변종으로 기존 탐지 체계(static detection)를 우회한다.

 
애플은 iOS9의 사용자-서버 접속 보안을 강화하기 위해 ‘App Transport Security(ATS)’ 기능을 제공하여, 특정 사이퍼(cipher)를 가진 http 접속만을 허용했다. 이러한 접속 제한으로, 기존의 엑스코드고스트 버전은 http를 통한 CnC서버와의 통신이 불가능하게 됐다. 그러나 애플이 개발자들이 앱의 info-plist에서 예외를 추가하면 http 접속이 가능하도록 하게 함으로써, 엑스코드고스트의 진화된 변종 엑스코드고스트S는 이러한 예외 설정을 파악하고 이를 바탕으로 CnC서버를 선택, 접속하는 수법을 이용하며 iOS기기를 감염시켰다.
 
파이어아이의 모바일 위협 분석 플랫폼(MTP; Mobile Threat Prevention)은 엑스코드고스트S에 실제 감염된 앱을 탐지했다. 이 앱은 “자유방(自由邦)”이라 불리는 여행자용 쇼핑 앱으로 미국과 중국 앱스토어에서 다운로드 가능하다. 현재는 애플에 의해 앱스토어에서 차단됐다.
 
또한, 파이어아이가 발표한 엑스코드고스트 침해 범위에 따르면, 엑스코드고스트의 CnC서버로의 콜백 시도 횟수를 살펴보았을 때 국가 별로는 독일, 미국, 프랑스가 콜백이 가장 많이 발생한 상위 3개국이였으며, 산업 별로는 교육, 첨단산업, 제조업, 통신 업체가 상위권이었다.
 
파이어아이의 동적 위협 인텔리전스(DTI, Dynamic Threat Intelligence)에 수집된 자료에 의하면, 감염된 앱은 152개에 달하며 왕이윈음악(?易云音?)과 위챗(WeChat) 등 중국 기반 앱이 가장 많이 감염됐다. 대부분의 앱 업체들이 해당 앱을 최신 버전으로 업데이트했음에도 불구하고 아직까지 많은 사용자들은 구버전을 사용하는 것으로 나타났다. 또한, iOS 버전에 따른 감염 여부를 살펴보면, 70%에 가까운 비율로 구 버전에서 감염이 이루어졌다. 이에 파이어아이는 악성코드 감염 방지를 위해 가능한 빨리 해당 앱과 iOS 버전을 업데이트하길 권고했다.
 
파이어아이 코리아 전수홍 지사장은 “엑스코드고스트에 감염된 애플리케이션이 기업 네크워크에서 대거 발견된 만큼, 기업보안을 위해 직원들은 엑스코드고스트를 포함한 악성 iOS앱에 대해 경각심을 가지고, 모든 앱을 최신 버전으로 업데이트 해야 한다”고 전했다. 이어, “애플에 의해 차단 됐던 앱의 경우, 해당 앱 사용자들은 앱을 제거하고 앱스토어에서 감염되지 않은 앱으로 다시 다운로드해야 한다”고 덧붙였다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★