지난 9월 논란이 된 iOS 악성코드 엑스코드고스트(XcodeGhost)가 애플 후속조치에도 불구하고 최신 버전 iOS까지 영향을 미치는 것으로 나타났다.
파이어아이(지사장 전수홍)는 210개 기업 네트워크에서 엑스코드고스트에 감염된 애플리케이션 작동을 발견하고 약 2만8000번에 달하는 Cnc(Control-and-Command) 서버 연결 시도가 감지됐다고 9일 밝혔다.
애플은 지난 9월 이후 감염된 앱을 앱스토어에서 차단 조치했지만 악성코드는 미국 기업 네트워크로 침입해 지속적으로 위협을 가한다. 파이어아이는 봇넷 일부 역시 아직까지 활동하고 있다고 전했다. 기존 탐지 체계를 우회해 iOS9까지 영향을 미치는 변종 악성코드 ‘엑스코드고스트S’ 침해 사례도 추가로 발견됐다.
애플은 iOS9 사용자-서버 접속 보안을 강화하기 위해 ATS(App Transport Security) 기능을 제공한다. 특정 사이퍼를 가진 에이치티티피(http) 접속만 허용하는 것이다. 기존 엑스코드고스트 버전은 이 조치로 명령&제어(CnC)서버와 http를 통한 통신이 불가능해졌다.
변종인 엑스코드고스트S는 개발자가 앱 세부항목(info-plist)에서 예외를 추가하면 http 접속이 가능한 예외 설정을 노렸다. 이를 바탕으로 CnC 서버를 선택·접속하는 수법으로 iOS 기기를 감염 시켰다는 분석이다.
파이어아이 모바일 위협 분석 플랫폼(MTP)은 엑스코드고스트S에 실제 감염된 앱을 탐지했다. ‘자유방(自由邦)’이라 불리는 여행자용 쇼핑앱으로 미국과 중국 앱스토어에서 다운로드 가능했지만 현재 차단된 상태다.
엑스코드고스트 CnC 서버로 콜백 시도 횟수에서는 국가별로 독일·미국·프랑스 순으로 많았다. 산업별로 교육·첨단산업·제조업·통신업체가 상위권을 형성했다.
파이어아이 동적 위협 인텔리전스(DTI) 수집 자료에 의하면 152개에 달하는 앱이 감염됐다. 왕이윈음악(〃易云音樂)과 위챗(WeChat) 등 중국 기반 앱이 가장 많았다. 대부분 사용자가 최신 버전이 아닌 구버전을 사용하는 것으로 나타났다. 악성코드 감염 방지를 위해 해당 앱과 iOS 버전을 신속히 업데이트할 필요가 있다.
전수홍 파이어아이코리아 지사장은 “엑스코드고스트에 감염된 애플리케이션이 기업 네트워크에서 대거 발견된 각 기업은 경감심을 가지고 보안을 위해 모든 앱을 최신 버전으로 업데이트 해야 한다”며 “애플에 의해 차단됐던 앱 사용자는 해당 앱을 지우고 앱스토어에서 감염되지 않는 앱으로 다시 내려 받아야 한다”고 말했다.
박정은기자 jepark@etnews.com
