파이어아이, iOS 타깃 악성코드 ‘엑스코드고스트’ 변종 및 추가 감염 포착

  • 애플의 조치에도 불구 iOS 타깃 악성코드, ‘엑스코드고스트’ 활동 계속해서 포착
  • iOS9에까지 영향을 미치는 변종, 엑스코드고스트S 출현으로 미국 기업 비상
  • 파이어아이, 최신 버전의 앱 설치와 최신 iOS9 설치 권고

2015년 11월 9일 – 지능형 사이버 공격 방어 기술의 선도업체인 파이어아이(지사장 전수홍, www.fireeye.kr)는 지난 9월 논란됐던 iOS악성코드 엑스코드고스트(XcodeGhost)가 애플의 후속 조치에도 불구하고 최신 버전의 iOS까지 영향 미치는 변종이 출현하는 등 계속해서 활동하고 있다고 밝혔다. 파이어아이에 따르면, 210개의 기업 네트워크에서 엑스코드고스트에 감염된 애플리케이션이 작동된 것을 발견했으며, 약 28000번이 넘는 CnC(Control-and-Command) 서버로의 연결 시도가 감지됐다고 전했다.

지난 9월 엑스코드고스트 감염 사태 이후 애플은 감염된 앱을 앱스토어에서 차단하는 조치를 취했다. 하지만 파이어아이는 애플의 후속 조치에도 불구하고 악성코드가 미국 기업 네크워크로 침입하여 지속적인 보안 위협을 가하고 있으며, 그 봇넷(Botnet)의 일부 역시 아직까지 활동하고 있다고 전했다. 또한, 엑스코드고스트S(XcodeGhost S)라 불리는 변종 악성코드에 의한 침해 사례가 추가로 발견됐는데 이는 iOS9에까지 영향을 미치는 변종으로 기존 탐지 체계(static detection)를 우회한다.

애플은 iOS9의 사용자-서버 접속 보안을 강화하기 위해 ‘App Transport Security(ATS)’ 기능을 제공하여, 특정 사이퍼(cipher)를 가진 http 접속만을 허용했다. 이러한 접속 제한으로, 기존의 엑스코드고스트 버전은 http를 통한 CnC서버와의 통신이 불가능하게 됐다. 그러나 애플이 개발자들이 앱의 info-plist에서 예외를 추가하면 http 접속이 가능하도록 하게 함으로써, 엑스코드고스트의 진화된 변종 엑스코드고스트S는 이러한 예외 설정을 파악하고 이를 바탕으로 CnC서버를 선택∙접속하는 수법을 이용하며 iOS기기를 감염시켰다.

파이어아이의 모바일 위협 분석 플랫폼(MTP; Mobile Threat Prevention)은 엑스코드고스트S에 실제 감염된 앱을 탐지했다. 이 앱은 “자유방(自由邦)”이라 불리는 여행자용 쇼핑 앱으로 미국과 중국 앱스토어에서 다운로드 가능하다. 현재는 애플에 의해 앱스토어에서 차단됐다.

또한, 파이어아이가 발표한 엑스코드고스트 침해 범위에 따르면, 엑스코드고스트의 CnC서버로의 콜백 시도 횟수를 살펴보았을 때 국가 별로는 독일, 미국, 프랑스가 콜백이 가장 많이 발생한 상위 3개국이였으며, 산업 별로는 교육, 첨단산업, 제조업, 통신 업체가 상위권이었다.

파이어아이의 동적 위협 인텔리전스(DTI, Dynamic Threat Intelligence)에 수집된 자료에 의하면, 감염된 앱은 152개에 달하며 왕이윈음악(网易云音乐)과 위챗(WeChat) 등 중국 기반 앱이 가장 많이 감염됐다. 대부분의 앱 업체들이 해당 앱을 최신 버전으로 업데이트했음에도 불구하고 아직까지 많은 사용자들은 구버전을 사용하는 것으로 나타났다. 또한, iOS 버전에 따른 감염 여부를 살펴보면, 70%에 가까운 비율로 구 버전에서 감염이 이루어졌다. 이에 파이어아이는 악성코드 감염 방지를 위해 가능한 빨리 해당 앱과 iOS 버전을 업데이트하길 권고했다.  

파이어아이 코리아 전수홍 지사장은 “엑스코드고스트에 감염된 애플리케이션이 기업 네크워크에서 대거 발견된 만큼, 기업보안을 위해 직원들은 엑스코드고스트를 포함한 악성 iOS앱에 대해 경각심을 가지고, 모든 앱을 최신 버전으로 업데이트 해야 한다”고 전했다. 이어, “애플에 의해 차단 됐던 앱의 경우, 해당 앱 사용자들은 앱을 제거하고 앱스토어에서 감염되지 않은 앱으로 다시 다운로드해야 한다”고 덧붙였다.

보다 자세한 정보는 파이어아이 공식 블로그(https://www.fireeye.com/blog/threat-research/2015/11/xcodeghost_s_a_new.html)에서 확인할 수 있다.

참고자료

 

[그림2] 엑스코드고스트에 가장 많이 감염된 앱 상위 20개

[그림3] 감염된 앱이 구동된 iOS 버전 비율

 

###

파이어아이에 대하여
파이어아이는 사이버 공격 방어에 특화된 가상 머신(MVX) 기반의 보안 플랫폼을 개발한 보안솔루션 업체로, 지능형 지속위협(APT), 제로데이와 같이 기업과 정부 기관을 대상으로 발생하는 차세대 위협에 대응하는 실시간 위협 탐지 보안 솔루션을 제공하고 있다. 파이어아이의 보안 솔루션은 시그니처 기반의 방화벽, IPS, 안티바이러스 및 웹 게이트웨이가 탐지 할 수 없는 제로데이 공격이나 변종 공격을 행위 기반 분석을 통해 효율적으로 탐지하고 차단한다. 파이어아이의 위협 차단 플랫폼은 위협으로부터의 보호를 위해 시그니처 사용 없이 주요 위협 벡터 및 각기 다른 단계의 공격 실행 주기에 걸친 실시간의 역동적인 위협 방어 솔루션을 제공한다. 파이어아이 플랫폼의 핵심은 사이버 공격을 실시간으로 차단하기 위해 역동적인 위협 인텔리전스에 의해 보완된 가상 실행 엔진이다. 파이어아이의 솔루션은 전세계 67개 국가에 걸쳐 포춘 선정 글로벌 기업 200개 기업을 포함한 3,100개 기업에서 사용 중이다. 보다 자세한 사항은 www.fireeye.kr 에서 확인 할 수 있다.

자료 문의

파이어아이 코리아         이상도 이사  / 02-559-0730 / sangdo.lee@fireeye.com

민커뮤니케이션                     대표메일 fireeye@mincomm.com

정민아 실장 / 010-6282-0677 / mina@mincomm.com

민초롱 대리 / 010-2845-0625 / chorong@mincomm.com