• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

역사적이긴 하나 위협적이지 않은 멀웨어, 와이어러커 2014.11.07

애플 역사에 처음 등장하는 규모와 방식의 멀웨어

아직 치명적인 행동 보이지 않아 초보자의 실험으로 보여


[보안뉴스 문가용] 이제 막 사이버 범죄에 발을 들여놓은 몇몇 사람들이 iOS와 OS X에 새로운 위협을 가했다. 와이어러커라는 애플 역사상 유례없는 멀웨어가 등장한 것이다. 이 멀웨어는 수개월 간의 개발 과정을 거쳤으며 그 과정에서 수천만의 OS X 혹은 iOS 기기를 감염시킨 것으로 드러났다. 그런데 이상한 건 감염만 시켰을 뿐 실제적인 피해나 손상은 아직 한 건도 나타나지 않았다는 것이다.


와이어러커를 분석해 보고서를 발행한 팔로알토의 라이언 올슨(Ryan Olson)은 “해커들이 해킹 자체에 그리 능숙해보이진 않습니다”라고 분석했다. “맥의 OS와 iOS에 대해서는 아주 깊은 이해를 가지고 있는 것이 분명하지만 멀웨어 제작 자체에 경험이 많지 않은 것이 거의 분명합니다.”


아직까지는 와이어러커의 제작자들은 그냥 재미 수준으로 멀웨어를 제작한 것으로 보인다. 즉 멀웨어로 시스템을 감염시킨 후의 계획까지는 없는 것으로 보인다는 뜻이다. 이들이 뺏어낸 정보도 기기 ID, 연락처 목록 등 멀웨어를 퍼트리는 데에 필요한 정보 뿐이었다. SMS 메시지 내용을 읽어들이거나 개인정보를 탐색한 흔적은 없다.


그럼에도 와이어러커는 맥 사용자들이 한 번도 겪어보지 못했을 정도의 멀웨어임에는 분명하다. 중국의 서드파티 맥용 앱스토어이며 해적판 소프트웨어의 저장고로 악명이 높은 마이야디 앱스토어(Maiyadi App Store)에 있는 467개의 OS X 앱들을 트로이목마화시켜 저장한 것을 시작으로 4월 30일부터 6월 11일까지 올라온 모든 소프트웨어를 변질시켰기 때문이다. 그럼에도 팔로알토는 “마이야디 자체가 감염된 것은 아니다”라고 밝혔다. 즉 공격자들이 직접 소프트웨어를 감염시키고, 감염시킨 소프트웨어를 다시 업로드 시켰을 것이라는 것. 더 치명적인 건, 이런 멀웨어들을 사용자들이 3십 5만 6천번 다운로드 했다는 사실이다.


OS X에도 분명 영향을 미치고 있긴 하지만 와이어러커의 진짜 목표는 iOS다. OS X와 iOS가 USB를 통해 만나는 경우 OS X는 iOS에서 특정 앱들을 찾아 OS X로 끌고 온다. 이 과정에서 멀웨어가 특정 요소들을 대체하고 들어선다. 그리고 그대로 iOS로 돌아간다. USB를 통해 OS X로부터 iOS를 공격하는 방식이 등장한 건 이번이 두 번째다. 그리고 바이너리 파일 교체를 통해 악성 iOS를 자동 생성하는 건 이번이 처음이다.


와이어러커의 최신 버전은 한 차원 색다른 방법으로 iOS를 감염시킨다고 팔로알토는 설명한다. 애플은 앱 개발자들이 자신들만의 앱을 개발한 후 앱스토어를 거치지 않고 배포할 수 있도록 해주는 기업용 공급 시스템을 운영하고 있는데, 이번 와이어러커는 이 시스템을 통해 배포되는 앱을 가지고 탈옥되지 않은 iOS 기기를 감염시키기까지 한다는 것이다. 게다가 여기에는 멀웨어가 필요하지도 않았다. 평범해 보이는 만화책 앱이었을 뿐이다.


“모든 정황을 봤을 때 실험용 멀웨어인 듯 합니다. 다음 단계의 공격이 발생한다면 아마 악성 앱을 설치할 겁니다.” 일단 애플 측에서는 디지털 인증서를 갱신했다. 하지만 탈옥된 애플 기기로서는 새로운 인증서의 혜택을 누릴 수가 없다.


와이어러커는 그 자체로 무시무시한 역사이기보다 애플 환경에서 이런 종류의 기술을 사용한 멀웨어로는 처음이라는 사실이 더 의미심장하다는 게 업계의 평이다. “제 느낌으로는 이게 더 큰 사태로 발전할 거 같진 않습니다. 게다가 이런 사건 하나 가지고 애플의 보안성이 무너졌네 어쩌네 하는 평을 하기도 시기상조 같습니다. 물론 애플이라고 무적일 수는 없다는 걸 보여준 사건이긴 합니다만.”


아직 와이어러커의 제작자에 대한 정보가 입수되지는 않았다. 팔로알토는 중국에서 활동하는 소규모 그룹이나 개인일 것이라고 추측한다. 또한 중국 정부의 개입 역시 희박한 가능성일뿐이라고 한다. “아마 이제 막 멀웨어 사업(?)에 진출한 사람일 듯합니다. 혹은 누군가 막 육성하기 시작한 해킹 팀이거나요. 아직은 위협적인 존재는 아니라고 봅니다.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>