지금까지 알려진 애플용 멀웨어로 인한 감염 규모 중 가장 커
탈옥한 기기에만 해당·탈옥에 대한 경각심 차원에서는 긍정적

[보안뉴스 주소형] 애플 iOS 멀웨어 패밀리에 새로운 구성원이 합류했다. 게다가 엄청나게 큰 규모의 구성원이다. 지금까지 알려진 애플용 멀웨어로 인한 감염 규모 가운데 가장 큰 것으로 파악되기 때문이다. 이번에 등장한 ‘키레이더(KeyRaider)’라는 멀웨어는 그나마 탈옥시킨 애플 기기에만 영향을 미치지만, 이미 22만5,000개 이상의 애플 계정을 탈취했다. 공격 악용 종류도 랜섬웨어, 데이터 절도, 사기 구매 등으로 다양하다.
 


“현재까지 파악하고 있는 키레이더는 애플 계정을 빼돌리는 멀웨어 중 역대 최대 규모라는 점과 탈옥한 아이폰에서만 작동된다는 것, 그리고 중국 기반의 일반 웹사이트를 통해 퍼지고 있다는 것 세 가지다.” 팔로알토 네트웍스(Palo Alto Networks)의 설명이다.

키레이더를 사용하는 공격자들은 앱스토어에 발행된 영수증 3,000여개를 빼내 이를 토대로 아이앱스토어(iappstore)와 아이앱인바이(iappinbuy)라는 두 개의 악성 애플리케이션을 만들어냈다. 해당 앱을 다운받은 사용자들의 계정을 사용하여 공격자들은 유료 앱을 마음대로 구매할 수 있다. 이미 이렇게 악용된 횟수는 2만 건이 넘은 상황이다.
 
악용 종류는 그 뿐만이 아니다. 키레이더 멀웨어는 로컬 또는 원격 해제 기능을 사용할 수 없게 만들고 애플 푸쉬 알림을 통해 이미 5,000개 이상의 인증서와 개인 키를 빼돌렸다. 또한 사용자의 기기를 잠그고 애플 푸쉬 서버를 거치지 않고 사용자를 협박하는 알림 메시지를 전송하기도 하는 것으로 파악됐다.

이 모든 것은 키레이더가 아이튠즈(iTunes) 트래픽을 차단시킴으로서 발생된다고 팔로 알토 네트웍스를 말했다.

“키레이더는 모바일서브스스트레이트(MobileSubstrate)를 통해 시스템에 연결되어 프로세스된다. 또한 아이폰 기기의 아이튠즈 트래픽을 가로채어 애플 계정의 사용자명, 암호, GUID(글로벌 고유 식별자)를 탈취할 수 있다. 애플 푸쉬 알람 서비스 인증서와 개인 키까지 탈취한 키레이더는 해당 정보를 앱 스토어에 악용하고, 아이폰 및 아이패드에 있는 로컬 및 원격 해제 기능까지 모두 불능으로 만들어 버린다.”

그렇게 탈취된 애플 계정들은 중국 IT 전문 블로그인 웨이폰(Weiphone)에 의해 드러났다. 이에 따르면 키레이더는 탈옥한 기기 사용자들이 애플리케이션을 주로 다운받는 시디아(Cydia)라는 저장소를 통해 퍼져가고 있다. 지난 7월, 수상스러운 움직임을 감지한 웨이폰 사용자가 이를 분석하면서 알아낸 사실이다.

팔로알토 네트웍스는 웨이폰 조직원들이 만들어낸 웨이테크(WeipTech)와 함께 공조하여 92개의 샘플을 분석했다고 밝혔다. 여기서 웨이테크는 탈옥시키지 않은 아이폰 기기에서 발생할 수 있는 바이러스인 와이어러커(WireLurker)를 발견하는 데도 큰 기여를 했던 조직이다.

특히 웨이폰 사용자가 가운데 미샤07(mischa07)이라는 인물이 유력한 용의자로 지목됐다. 아이앱스토어와 아이앱인바이 앱을 시디아에 최초로 업로드한 것으로 보이며 그의 사용자명이 키레이더 코드안에 하드코드화 되어 있기 때문이다.

 
키레이더 관련해 또 다른 요주의 인물은 바무(Bamu)라는 웨이폰 및 시디아 사용자다. 바무 또한 해당 애플리케이션들을 굉장히 부지런히 업로드하고 있으며 그가 업로드한 애플리케이션을 다운받은 사람들이 무수히 많기 때문이다. 팔로알토에 따르면 그가 업로드한 애플리케이션의 77%에 키레이더가 설치되어 있었으며, 탈취된 애플 계정의 67%가 바무를 통해서였다고 전문가들은 설명했다.

따라서 키레이더 감염여부의 경우 웨이테크의 쿼리 서비스나 팔로알토가 제공하는 매뉴얼을 따르면 확인이 가능하다. 이들은 사용자가 두 가지 모두를 사용할 것을 추천했다.

이와 반면 일각에서는 키레이더가 그렇게 위협적이지 않다는 목소리도 있는 것으로 파악됐다.

“일반적인 아이폰 사용자들은 해당 사항 없는 이야기다.” 트립와이어(Tripwire)의 취약점 및 유출 리서치 팀 매니져인 타일러 레걸리(Tyler Reguly)가 말했다. “금일 키레이더를 둘러싼 보도들은 상당히 과장된 부분들이 많다.”

해당 앱의 대부분이 웨이폰을 통해 퍼지고 있는데 웨이폰 이용자는 500만명 수준에 불과하고 그들은 거의 중국 사용자라는 것. 물론 최근 중국에서의 애플 기기 판매량이 미국 판매량을 넘어섰지만 중국 사용자들의 탈옥 횟수는 최근 계속해서 줄어들고 있는 추세다. 실제로 지난 2014년 9월 기준, 중국 내 애플 기기 탈옥 비중은 13.6%에 불과했다.

그러면서도 그는 이번 사건이 기기를 탈옥하는 것에 대한 사용자들의 경각심을 일깨워준다면 매우 좋은 메시지가 될 것으로 기대했다.

“키레이더는 탈옥시키지 않은 기기에는 전혀 영향을 끼치지 않는다. 기기를 탈옥을 시킴과 동시에 수많은 위협에도 노출된다는 사실이 여실히 증명된 케이스다.” 라피드7(Rapid 7)의 글로벌 서비스 수석 컨설턴트인 기욤 로스(Guillaume Ross)가 말했다.

“사실 사용자 입장에서 탈옥에 대한 유혹을 느끼는 이유는 하나다. 더 많은 기능을 사용할 수 있기 때문이다. 아무래도 탈옥시킨 기기에 비해 탈옥 시키지 않은 기기는 상대적으로 제한이 많다. 게다가 이 같은 제한은 벤더사들로 인해 비롯된다.” 트립와이어의 소프트웨어 개발 엔지니어이자 보안 연구원인 레인 템스(Lane Thames)가 말했다. “물론 벤더사들에 의한 제한도 있지만 기능에 제한을 두는 대부분의 이유는 사용자의 보안을 위해서 아니면 전반적인 모바일 체계를 위해서다. 비용적인 면을 따져봐도 탈옥시킨 기기가 더 손해다. 결국 탈옥 시킨 스마트기기는 더 이상 스마트하지 않게 될 것이다.”

한편 블루박스(Bluebox)의 아담 일리(Adam Ely)도 사용자가 스스로 기기에 대한 통제권을 합법적으로 좀더 가져야 한다는 입장을 밝혔다. 사용자가 스스로 패치를 설치하고 블로트웨어(bloatware) 제거, 앱 허가 관리 등을 하는 습관을 갖게 하는 것이 탈옥보다 더욱 중요하다고 거듭 강조했다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>