[김국배기자] 애플의 운영체계인 iOS를 노린 악성코드가 지속적으로 활동하고 있는 것으로 나타났다.
파이어아이는 최신 버전의 iOS까지 영향을 미치는 악성코드 '엑스코드고스트' 변종을 발견했다고 9일 밝혔다. 엑스코드고스트는 지난 9월 논란이 됐던 iOS 악성코드다.
파이어아이에 따르면 210개의 기업 네트워크에서 엑스코드고스트에 감염된 애플리케이션이 작동된 것을 발견됐고 약 2만8천번이 넘는 명령제어(Control-and-Command) 서버 연결 시도를 감지됐다.
지난 9월 엑스코드고스트 감염 사태 이후 애플은 감염된 앱을 앱스토어에서 차단했다. 하지만 파이어아이는 애플의 후속 조치에도 불구하고 악성코드가 미국 기업 네크워크로 침입해 지속적인 보안 위협을 가하고, 그 봇넷(Botnet)의 일부 역시 아직까지 활동하고 있는 것으로 파악했다.
또한 엑스코드고스트S(XcodeGhost S)라 불리는 변종 악성코드에 의한 침해 사례가 추가로 발견됐는데 이는 iOS9까지 영향을 미치는 변종으로 기존 탐지 체계(static detection)를 우회한다는 게 파이어아이 측 설명이다.
파이어아이 모바일 위협 분석 플랫폼(MTP)은 엑스코드고스트S에 실제 감염된 앱을 탐지했다. 이 앱은 '자유방(自由邦)'이라 불리는 여행자용 쇼핑 앱으로 미국과 중국 앱스토어에서 다운로드할 수 있다. 현재는 애플에 의해 앱스토어에서 차단됐다.
파이어아이가 발표한 엑스코드고스트 침해 범위에 따르면 엑스코드고스트의 CnC서버 콜백 시도 횟수를 살펴봤을 때 가장 많은 국가는 독일, 미국, 프랑스였으며 산업별로는 교육, 첨단산업, 제조업, 통신업체가 상위권을 차지했다.
파이어아이의 동적 위협 인텔리전스(DTI)에 수집된 자료에 의하면 감염된 앱은 152개에 달하며 왕이윈음악(网易云音乐)과 위챗(WeChat) 등 중국 기반 앱이 가장 많이 감염됐다.
대부분의 앱 업체들이 해당 앱을 최신 버전으로 업데이트했음에도 불구하고 아직까지 많은 사용자들은 구버전을 사용하는 것으로 나타났다. 또한 iOS 버전에 따른 감염 여부를 살펴보면 70%에 가까운 비율로 구 버전에서 감염이 이뤄졌다.
전수홍 파이어아이코리아 지사장은 "엑스코드고스트에 감염된 애플리케이션이 기업 네크워크에서 대거 발견된 만큼 기업보안을 위해 직원들은 엑스코드고스트를 포함한 악성 iOS 앱에 대해 경각심을 가지고, 모든 앱을 최신 버전으로 업데이트 해야 한다" 전했다.
이어 "애플에 의해 차단 됐던 앱의 경우 해당 앱 사용자들은 앱을 제거하고 앱스토어에서 감염되지 않은 앱으로 다시 다운로드해야 한다"고 덧붙였다.
보다 자세한 정보는 파이어아이 공식 블로그(https://www.fireeye.com/blog/threat-research/2015/11/xcodeghost_s_a_new.html)에서 확인할 수 있다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기