애플(Apple)에서 제공하는 ios 앱스토어(App Store)는 엄격한 코드심사로 보안을 보장한다. 이러한 조치는 이미 IOS보안 생태계에서 IOS 사용자의 보안을 책임지는 중요한 보안체제이다. 그러나 최근 모 APP이 Apple의 코드심사 체제를 성공적으로 우회한 사례가 발생하였다.
 
App store에 등록된 관련 앱의 이름은 “?心日常英?（HappyDaily English）”이며, 현재 Apple에서 이 APP을 삭제하였다. 이는 중국 IOS사용자를 대상으로 한 서드파티 앱스토어 클라이언트이며, 기업 인증버전까지 발견되었다. 보안전문가는 아직 이 앱의 악의적인 기능을 발견하지 못해 “Riskware”으로만 분류하였고 “ZergHelper”라는 이름을 붙여주었다.
 
ZergHelper 중 존재하는 보안위협은 아래와 같다.
-App Store 위조, 보안이 보장되지 않은 IOS 어플리케이션 제공
-기업 인증서와 개인 인증서를 남용, 그 중 심사처리를 거치지 않은 코드가 포함되었을 가능성이 존재하거나 개인 API 남용
-AppleID 등록을 요구하며 사용자에게 Apple ID를 제공, 관련 ID로 Apple서버에 등록하거나 백그라운드에서 실행할 가능성이 존재
-개발자는 다이나믹 업데이트 코드를 통해 기능을 확장, IOS보안체제를 우회할 위험성이 존재
-민감하고 위험성이 존재하는 기술 사용, 이런 기술은 악성 소프트웨어를 통해 IOS생태시스템을 공격할 위험성이 존재
 
저그핼퍼(ZergHelper)는 이미 Apple의 코드심사를 통과하였으며, 서로 다른 지리적 위치에서 서로 다른 작동의 실행으로 이 기능을 실현하였다. 중국 이외의 지역에서 “HappyDaily English”라는 소프트웨어로 나타나지만 중국에서 사용하면 기타 기능이 실행된다.
 
2015년 10월 30일, ZergHelper는 App store에 등록되었지만 2016년 2월 19일이 되어서야 관련 앱의 숨겨진 기능이 발견되었다. Apple에서는 현재 ZergHelper를 삭제하였다. ZergHelper의 주요기능은 해적판과 크랙된 IOS어플리케이션과 게임을 제공하며, 중국의 모 업체에서 개발되었다.
 
ZergHelper는 새로운 기술을 사용하여 비탈옥 장비에서 소프트웨어 설치 및 Xcode IDE 기능을 실현하여 자동으로 무료 개발인증서를 생성한다. 이는 공격자가 이미 Apple 전용 프로토콜과 8개월 전 공개한 개발계획을 분석하고 있다는 의미이다. 게다가 ID를 사용자에게 공유할 수도 있다.
 
ZergHelper의 코드는 상당히 복잡하게 구성되었다. 현재 계정정보 절취가 가능한지, 절취가 가능하다면 서버에 전송되는지는 확인되지 않았다. 하지만 분명한 것은 서버에 장비정보를 전송한다는 것이다. 심지어 ZergHelper가 사용하는 프레임을 분석해보면 사용하는 코드가 Apple의 심사를 거치지 않고 업데이트가 가능하도록 설계되어 있다.
 
현재 확인결과 50개 이상의 ZergHelper 어플리케이션이 기업인증서를 사용 중이며, 모두 서로 다른 루트로 전파되고 있다. (정보제공. 씨엔시큐리티)
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com