중국 특파원이 전하는 엑스코드고스트 사태의 전말_ 中 애플 iOS용 앱 악성코드 감염 “1억명 정보 유출 위험”_ 中 해커 iOS 개발 툴 ‘Xcode’에 악성코드 투입...감염 앱 360여개
[보안뉴스 온기홍=중국 베이징] 중국에서 최근 애플 iOS 개발 툴 ‘엑스코드(Xcode)’가 악성코드에 감염되고, 악성코드에 감염된 ‘Xcode’로 개발된 아이폰(iPhone)·아이패드(iPad)용 애플리케이션(앱)이 사용자와 기기 정보를 빼내는 것으로 밝혀져 큰 사회적 이슈로 떠올랐다.


중국에서 지난 21일 현재 ‘엑스코드고스트(XCodeGhost)’로 불리는 이 악성코드에 감염된 아이폰·아이패드용 앱은 360여 종에 달하는 것으로 알려졌다. 특히, 중국에서 이 악성코드에 감염된 앱을 애플의 앱 스토어(App Store)에서 내려 받아 정보 유출 위험에 노출된 애플 기기 사용자는 1억 명에 이를 것으로 추산되고 있다.

중국에서 악성코드 감염 피해를 입은 애플 iOS용 앱과 사용자 수는 이번이 역대 최대 규모다. 이전에도 국내외에서 여러 차례 애플 iOS 관련 정보 유출 등 보안문제가 발생한 적이 있었지만, 이번처럼 중국에서 많은 규모의 애플 iOS용 앱과 기기 사용자들이 피해를 입은 것은 처음이어서 사회 각계의 이목이 쏠리고 있다.

▲ 미국 애플사의 iOS 앱 공식 개발 툴 ‘Xcode’ 소개 화면

중국내 애플 iOS 개발 툴에 악성코드 투입...“中 앱 360여개 감염”
이번 ‘악성코드 엑스코드고스트 사건’은 지난 18일 중국의 한 누리꾼이 자신의 웨이보(중국판 트위터) 상에서 “여러 iOS 앱들이 악성코드에 감염돼 사용자 정보들이 유출됐을 수 있다”고 말하면서 알려지기 시작했다. 

이어 중국내 유명 보안취약점 공유플랫폼인 우윈망은 19일 “Xcode에 악성코드가 삽입돼 중국의 많은 애플 앱들이 감염됐다”며 “이들 앱은 애플 앱 스토어에서 다운로드 된 뒤 사용자의 iOS 기기 정보 유출을 일으킬 수 있다”고 밝혔다.

우윈망은 “이 악성코드는 몰래 SW 패키지명, 앱 이름, 시스템 버전, 언어, 국가 등 기본정보를 올리게 된다”고 밝혔다. 또 이 악성코드는 앱 사용정보 수집 외에 앱 안에 팝업 형식을 써서 사용자의 iCloud 혹은 다른 비밀번호를 훔칠 수도 있다”고 밝혔다.

Xcode는 애플사가 내놓은 iOS 앱의 공식 개발 툴로, 애플 OS인 Mac OS X 상에서 운행된다. 기본적으로 모든 iOS 앱은 모두 Xcode를 바탕으로 개발된다. 따라서 Xcode는 현재 개발자들이 Mac OS와 iOS 앱 프로그램을 개발할 때 쓰는 가장 보편적인 방식이다.

중국 정보보안업체들도 각자 검사 결과를 바탕으로 악성코드 엑스코드고스트의 영향을 받은 중국내 앱들을 공개했다.

그 가운데 중국 정보보안업체 치후360이 발표한 감염 앱 수량이 가장 많았다. 치후360은 중국내 14만5,000개의 앱을 대상으로 자체 검사한 결과, 344종의 앱이 악성코드에 감염된 것을 발견했다고 밝혔다.

중국 텐센트(Tencent)의 보안센터가 발표한 보고에 따르면, 이번 사건의 영향을 받은 사용자 수는 보수적으로 잡아도 1억 명을 넘는다고 밝혔다. 따라서 이는 애플의 앱 스토어 출범이래 사용자수가 가장 많은 보안사건이라는 평가다.

중국 국영방송 CCTV는 지난 20일 “중국내 애플 아이폰용 여러 앱에서 ‘백도어(Backdoor)’가 발견됐다”며 “엑스코드고스트 바이러스의 잠재 위험은 매우 크며, 이 바이러스에 감염된 중국내 앱이 360종을 넘었다”고 보도했다. CCTV는 이어 중국 내에서 이 악성코드에 감염된 앱을 내려 받은 애플 기기 사용자는 이미 1억 명에 달했다고 전했다. 이들은 각종 정보 유출 위험에 놓여 있다.

중국 매체들과 정보보안업계가 밝힌 통계를 종합하면, 애플 앱 스토어에서 다운로드 수가 가장 많은 5,000개 앱 가운데 76개가 ‘엑스코드고스트’에 감염된 것으로 나타났다. 이 중에는 대형 기업의 유명 iOS용 앱들도 적지 않고, SNS·인터넷·금융·철로·항공·게임 등 여러 영역의 대표적인 앱들이 포함돼 있다.

대표적으로 △중국 유명 인터넷업체인 왕이(넷이즈)의 클라우드 음악(버전 2.8.3) △웨이신 iOS(6.2.5) △중신은행 모바일 카드 앱(3.3.12) △바이두(Baidu) 음악 △부동산 앱인 58동청 △중국남방항공 △중국공상은행 금융 관련 앱인 공인롱3롄 △중국 인기 명함 식별 앱인 밍피앤취앤능왕(CamCard) △중국 기차표 온라인 예매 앱 12306(2.12) △중국의 유명 디지털 지도인 가오더 지도(7.3.8) △중국롄통 모바일 영업청(3.2) △중국내 인기 저작·독서 관련 앱인 잰슈(2.9.1) △왕이 공개수업(4.2.8) △중국내 인기 모바일 택시 콜 서비스 앱인 디디다처(3.9.7) △디디 출행(4.0.0.6) △Lifesmart(1.0.44) △인기 게임인 앵그리버드2(2.1.1) △쉰페이입력볍(5.1.1463) 등 사용량이 많은 앱 등이 ‘엑스코드고스트’에 감염된 것으로 확인됐다.

미국 온라인 보안업체 팔로알토 네트웍스(Palo Alto Networks)가 분석한 바에 따르면, coderfun이 투입한 Xcodedmg 파일은 Douban, SwiftMi, CocoaChina, OSChina 등 여러 정보·소스 공유 웹 게시판에 광범위하게 공개됐다. 이어 또 다시 중국 최대 검색 사이트 바이두의 클라우드 서비스 사이트 ‘바이두 윈(yun.baidu.com)’에서 파일이 대량 다운로드 된 것으로 밝혀졌다.

중국 내에서 현재까지 엑스코드고스트에 감염된 것으로 알려진 iOS용 앱들은 모두 특정 버전으로 밝혀졌다. 이들 앱을 서비스하는 회사들 가운데 일부는 자사 앱이 악성코드 엑스코드고스트 사건의 영향을 받았다고 밝혔다. 그러면서 이미 악성코드를 퇴치하는 새 버전의 앱을 발표했으며, 사용자들은 직접 업그레이드를 하면 바로 해결될 것이라고 덧붙였다.


CCTV 등 매체들은 보안전문가들을 인용해 중국내 애플 기기 사용자들에게 본인의 아이폰에 설치된 앱의 버전을 대조해, 신속히 최신 버전으로 업그레이드 하거나 직접 제거하는 게 바람직하다고 당부했다.

이런 가운데 지난 19일 판구(pangu) 단체는 ‘엑스코드고스트 바이러스 검사 툴’을 공개하고 중국내 iOS용 기기 사용자들이 직접 악성코드 감염 여부를 검사하는 동시에 감염된 앱을 업데이트할 수 있게 했다.
 

  ▲ 중국에서 ‘Xcode 바이러스 검사 툴’이 아이폰     의 엑스코드고스트 악성코드 감염 여부를 검사     하는 화면.

사용자의 단말기가 이 악성코드에 감염됐을 경우, 감염된 앱을 제거 또는 업데이트 하는 동시에 iCloud 비밀번호도 바꿔야 한다고 보안전문가들은 강조했다. 아울러 사용자들은 감염된 앱에서 사용했던 기존 비밀번호, 특히 금전과 상관된 비밀번호를 재차 바꾸는 게 필요하다.

중국 국가인터넷응급센터는 개발자가 애플이 아닌 비공식 경로의 Xcode를 써서 iOS 앱을 개발하면 정상적인 앱에도 악성코드가 들어갈 수 있다는 점에 주의해야 한다고 강조했다.

 
中 ‘악성코드 엑스코드고스트’ 확산 배경과 특징
이번에 악성코드 엑스코드고스트에 감염된 것으로 밝혀진 중국내 iOS용 앱들은 비공식 경로를 통해 다운로드 된 Xcode로 만들어졌다는 게 중국 보안업계의 분석이다.

실제로 중국내 많은 iOS 앱 개발자들은 주로 애플의 공식 앱 스토어가 아닌 다른 비공식 경로를 통해 Xcode를 내려 받아 쓰고 있다고 중국 보안 전문가들과 매체들은 지적했다.

애플 Xcode의 공식 다운로드 경로는 Mac 앱 스토어이고, 공식 버전 Xcode는 무료다.  그런데 중국내 프로그래머들은 주로 애플의 앱 스토어가 아닌 다른 곳에서 Xcode를 내려 받아 쓰고 있다.

Xcode 툴은 용량이 2G를 조금 넘지만, 중국에서 애플 서버에 연결해 Mac 앱 스토어 사이트를 열 때 속도가 느린 편인데다 사이트가 열리는 않는 문제도 자주 발생하고 있다. 중국에서 애플 서버에 접속해 이 툴을 내려 받는 속도 역시 너무 느리다는 게 중국내 프로그래머들의 얘기다. 그래서 중국내 많은 프로그래머들은 작업 효율을 높이고 더 빨리 다운로드 하기 위해 직접 각 인터넷 게시판과 온라인 상에서 제3의 소스를 찾는다. 즉, 이들은 비공식 다운로드 경로를 택하고 있다.

하지만 iOS용 앱 개발자가 이 같은 비공식 사이트에서 악성코드가 내장된 Xcode를 내려 받아 앱을 컴파일링할 경우, 자신도 모르게 앱 스토어에 업로드하는 앱도 자동적으로 악성 프로그램을 담고 있게 된다고 중국 보안전문가들은 지적했다. 나아가 스파이 기능을 내장한 이들 ‘정상’ 앱을 스마트폰에 내려 받아 설치한 일반 사용자들은 정보 유출 위험에 놓이게 된다.

이번에 악성코드 엑스코드고스트에 감염된 iOS용 앱들은 자동으로 기기와 사용자 정보를 수집해 원격 서버 ‘init.icloud-analysis.com’로 보내는 것으로 드러났다. 유출 정보에는 스마트폰 모델 번호, 시스템 버전, 앱 명칭, 앱 사용 시간, 시스템 언어 등이 포함된 것으로 알려졌다.

베이징지역 일간지 징화스바오는 전문가들을 인용해 “이전의 악성코드 투입 방법과 달리, 엑스코드고스트는 직접 악성코드를 개발 툴에 내장시킨다”며 “이런 방식은 악성코드가 초기부터 매우 광범위하게 전파될 수 있게 했다”고 전했다.

중국 매체들은 미국 보안업체 팔로알토 네트웍스의 라이언 올슨의 말을 인용하면서 “앱 개발자들은 이제 해커의 주요 공격 대상 가운데 하나가 됐다”고 강조했다.

또한 중국내 일부 사용자들은 엑스코드고스트가 ‘탈옥’되지 않은 아이폰 상에서 팝업을 위조해 피싱 공격을 벌인다고 밝혔다. 이 과정에서 생성된 대화 창은 진짜와 거의 같아 판별이 매우 어렵다고 사용자들은 말했다.

중국내 정보보안 전문가들은 이번 ‘엑스코드고스트 악성코드 사건’의 한 원인으로 중국 SW 업체들이 개발 환경을 소홀히 하고 있는 점도 꼽았다.

중국내 보안전문가들은 일간지 환구시보 등과 인터뷰에서 “엑스코드고스트 사건은 중국내 회사들이 개발 환경을 소홀히 하고 있으며, 개발 툴조차도 모두 마음대로 아무거나 찾아 쓰고 있다는 것을 보여준다”고 지적했다. 이들은 또 “업체들은 많은 인원의 컴퓨터에 매우 많은 불법 복제판 SW들을 설치해 쓰고 있을 게 분명하다”고 덧붙였다.

애플사, “엑스코드고스트가 일부 앱 감염시켜” 확인
이번 ‘엑스코드고스트 악성코드 사건’은 중국내 해커가 애플의 앱 스토어에 대해 일으킨 첫 대규모 공격으로 평가 받고 있다.

애플사는 지난 20일(미국 현지 시간) 이번 사건에 대해 첫 공식 반응을 내놓았다. 애플 쪽은 이번 사건은 해커가 앱 개발자를 속여 수정된 애플 앱 개발 툴 ‘Xcode’를 쓰게 한 것이며, 이로 인해 악성코드가 이들 앱에 주입된 것이라고 밝혔다. 그러면서 악성코드에 감염된 프로그램을 쓰도록 유도하는 한 일부 앱을 삭제했다고 덧붙였다.

애플의 크리스티네 모나한(Christine Monaghan) 대변인은 이날 이메일을 통해 공개한 발표문에서 “우리는 이미 영향을 받은 앱을 앱 스토어에서 정리했고, 현재 개발자들과 협력하면서 그들이 공식 Xcode을 사용해 다시 앱을 컴파일링하도록 하고 있다”고 발표했다. 하지만 애플 대변인은 중국내 아이폰과 아이패드 사용자들이 어떤 방식을 취해 자신의 기기 중 어떤 앱이 악성코드에 감염됐는지 여부를 판단할 수 있는지에 대해서는 언급하지 않았다.
한편, 애플사는 지난 16일 아이폰·아이패드·아이팟터치용 최신 OS ‘iOS 9’을 배포하기 시작한 가운데, iOS 9 배포 사흘 만인 19일 현재 애플 앱 스토어를 방문하는 기기들 중 iOS 9을 쓰는 기기의 비율이 50%를 넘어섰다고 21일(현지시간) 밝혔다.

中 ‘엑스코드고스트’ 개발자, “실험해봤을 뿐” 사과문 발표
중국에서 ‘엑스코드고스트 악성코드 사건’이 보안 분야는 물론 매체에서 며칠째 주목을 받으면서 사회적 이슈가 되자, 지난 주말 자칭 ‘엑스코드고스트’ 개발자가 나타나 처음 입을 열었다.

그는 중국 시나닷컴이 운영하는 중국판 트위터 ‘웨이보(Weibo)’의 본인 계정 ‘@XcodeGhost-Author’에 사과문을 올리고 “엑스코드고스트는 내 자신이 행한 실험에서 나온 것일 뿐이며, 어떠한 위협적인 행위도 없었다”고 주장했다. 그러면서 상세한 내용은 소스코드를 보면 알 수 있다면서, 웹주소 ‘https://github.com/XcodeGhostSource/XcodeGhost’를 제시했다.

그는 “이른바 엑스코드고스트는 iOS 개발자의 의외적인 발견”이라며 “Xcode 컴파일러 구성 파일(configuration file)을 수정하면 지정한 코드 파일을 추가할 수 있으므로, 코드를 써서 테스트를 해 봤고, 내 온라인 사이트에 업로드 했다”며 사건의 자초지종을 설명했다.

그는 코드 중에 획득한 모든 데이터는 실제로 기본적인 앱 정보로, 앱 명칭, 앱 버전 번호, 시스템 버전 번호, 언어, 국가명, 개발자 부호, 앱 설치 시간, 기기 명칭, 기기 유형 등이라고 말했다. 그 밖의 어떠한 다른 데이터도 얻지 않았다고 그는 주장했다. 또한, 열흘 전에 스스로 서버를 닫았고, 모든 데이터를 삭제했으므로 어떤 사람에게든 아무런 영향도 끼치지 않을 것이라고 주장했다.

그는 이어 “사심에서 출발해 코드에 광고 기능을 더했으며, 향후 내 자신의 앱(원하는 사람들은 소스 코드와 비교해 검증할 수 있음)을 퍼뜨리고 싶었다”며 “하지만 실제 시작부터 최종적으로 서버를 폐쇄할 때까지 이 광고 기능을 사용한 적이 없다”고 강조했다.

끝으로 그는 “엑스코드고스트는 한 번의 잘못된 실험이었고, 철저히 사망한 코드일 뿐”이라며 “엑스코드고스트는 어떤 앱의 사용에도 영향을 끼치지 않는데다, 프라이버시 데이터도 얻을 수 없고, 그저 이미 죽은 코드일 뿐이란 점을 강조하고 싶다”고 말했다.

이처럼 자칭 ‘엑스코드고스트’ 개발자가 “이는 단지 ‘무해’한 실험사건일 뿐”이라고 주장했지만, 중국 관영방송 CCTV는 20일 기술 전문가의 말을 따서 “엑스코드고스트 개발자가 오래 전부터 계략을 꾸미고 반년 전에 이미 애플 사용자의 정보를 수집하기 시작했다고 전했다.
이 전문가는 또 해당 악성코드가 사용자 정보를 수집할 수 있을 뿐 아니라 스마트폰을 원격 제어하고 광고를 띄울 수 있는 능력을 갖고 있다고 평가했다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]
 
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>