| 공식 앱 스토어에서의 대표적 보안사건 3가지 | 2016.04.01 | ||||||||||||
앱 스토어와 구글 플레이, 알려진 공격에도 취약
서티파이게이트, 엑스코드고스트, 브레인테스트... 공식 스토어 함락시켜
1. 서티파이게이트(Certifi-gate) 서티파이게이트는 2015년 8월 체크포인트(Check Point)에서 발견한 다량의 안드로이드 취약점들이다. 이 취약점들을 악용한 공격자들은 OEM 서명이 되어 있는 앱을 익스플로잇 해서 사용자의 동의 없이도 높은 권한을 얻어낼 수 있었다. OEM이 서명한 앱들은 화면 캡처나 사용자 입력 시뮬레이션 등 높은 권한의 일들을 할 수 있게 해준다. 악성 앱이 어떻게 해서든 OEM 서명만 받을 수 있다면 사실상 기기의 통제권을 가져올 수 있을 법한 높은 권한을 얻어낼 수 있고, 이 점을 공격자들이 노리기 시작한 것이다. 이 취약점들이 세상에 알려지자 구글은 구글 플레이에는 그런 악성 앱들이 없기 때문에 안심해도 된다는 발표를 했다. 하지만 발표 2주 후 체크포인트의 연구 조사 결과 사용자의 화면을 캡처하는 악성 앱이 발견되기도 했다. 2. 엑스코드고스트(Xcodeghost) 애플이 공식적으로 개발한 앱 개발 환경을 엑스코드(Xcode)라고 한다. 그런데 어떤 사이버 범죄자들이 이 엑스코드를 살짝 변형시켰다. 그리고 변형시킨 엑스코드를 또 다른 웹 사이트에 올려놓았다. 이 엑스코드를 가지고 앱을 만들면 악성 코드가 심겨졌다. 애초에 오염된 것으로 만들어졌으니 당연한 것이었다. 그리고 이 앱들은 애플의 코드 평가 과정을 우습게 통과해 공식 앱 스토어에 오르기도 했다. 엑스코드고스트가 앱 스토어에 진출 성공한 첫 악성 코드는 아니다. 하지만 가장 큰 규모로 앱 스토어를 장악한 사건이었다. 애플이 자랑하는 코드 평가 과정에도 누수가 있다는 게 대대적으로 드러난 것. 게다가 이 사건 이후, 애플이 이런 식의 공격을 알고 있음에도 불구하고 멀웨어들은 계속해서 앱 스토어를 침투했다. 3. 브레인테스트(BrainTest) 2015년 9월, 구글 플레이에서 새로운 악성 앱이 발견되었다. 구글의 앱 스캔 과정을 우회하는 앱이었다. 이 앱은 두 가지 요소로 구성되어 있었는데, 하나는 드로퍼(dropper)였다. 일단 설치가 되면 이 드로퍼가 ‘지금 실행되고 있는 환경이 구글의 서버인지 아닌지’를 확인부터 했다. 만약 구글의 서버가 맞는다면 악성 명령을 실행하지 않았다. 사용자의 기기라면 두 번째 요소를 다운로드 해 악성 행위를 시작했다. 또한 다른 여러 악성 앱들을 설치해 공격자들이 여러 방면으로 수익을 만들 수 있도록 했다. 브레인테스트 역시 구글에 보고가 되었다. 그럼에도 다시 구글 플레이에 등장해 13개의 앱에 숨어서 활동을 시작했다. 구글은 이미 알려진 공격임에도 불구하고 막을 수 있는 방법을 찾아내지 못했다. 4. 허술한 앱 보안과 인증 과정 애플의 앱 스토어나 구글 플레이 모두 멀웨어의 침공에 시달리고 있다. 공식 스토어들이라고 해서 안전한 것만은 아니다. 새롭고 신박한 공격에만 아니라 이미 알려진 공격 방법들에도 취약한 곳이다. 위 세 공격은 처음 등장했을 때의 임팩트도 컸지만, 그 후 같은 방식의 공격으로 계속해서 공격에 성공하기도 했다. 게다가 지금 이 시간에도 누군가는 새로운 공격 방법을 연구 중에 있다. 즉, 안전 수칙에 따라 공식 앱에서 잘 알려진 앱만 다운로드 받는 착실한 사용자들도 결코 안전할 수 없다. 이는 사용자뿐 아니라 사용 기업들도 마찬가지다. 공식 앱에서만 다운로드 가능한 앱을 설치 받아 업무에 활용했을 뿐인데도 공격에 노출되어 있다. 보다 안전하고 믿을 수 있는 앱 확인 과정을 애플과 구글 측에서 도입하길 바란다. 글 : 아비 바샨(Avi Bashan) Copyrighted 2015. UBM-Tech. 117153:0515BC [글 시큐리티월드 국제부 문가용 기자(sw@infothe.com)] <저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지> |
|||||||||||||
 |
