공식 인증서 가로채 앱 스토어에 당당히 입성한 해커들
인기 있는 공식 앱 훔쳐 리패키징한 후 어둠의 시장에 되팔아
[보안뉴스 문가용] 아이폰과 맥킨토시가 뚫려도 그게 다 결국은 비공식 앱 스토어를 사용했기 때문이라며 애플이 공식으로 운영하는 앱 스토어만큼은 안전하다고 믿고 있다면, 이제 그 생각을 좀 달리해야 할 때다. 해커들이 공식 앱 스토어에 자유롭게 드나드는 법을 발견했기 때문이다. 그것은 바로 앱 스토어에서 통용되는 공식 인증서를 기업으로부터 훔쳐내는 것이다. 인증서만 있으면 누구나 앱 스토어에 입장할 수 있게 된다.
▲ 결국, 이곳마저도 함락되는 건가...
프루프포인트(Proofpoint)의 연구원들은 이런 식으로 악성 앱을 앱 스토어에 등록하는 과정 혹은 이런 식으로 등록된 악성 앱을 다크사이드로더(DarkSideLoader)라고 부른다. 다크사이드로더의 활동이 가장 활발한 앱 시장으로 브이쉐어(vShare)가 있다. 브이쉐어는 아이폰과 아이패드용 유료 앱들 백만 개를 무료로 구할 수 있는 곳으로 원래는 안드로이드와 탈옥된 iOS 기기용 앱들만 다루어왔다. 브이쉐어가 정식 아이폰 및 아이패드 앱들도 유통하기 시작했다는 건 탈옥 여부가 이제는 해커들에게 큰 영향을 못 끼친다는 걸 반증한다.
“앱 스토어에 공식으로 앱을 등록해서 사용하고자 하는 기업들은 반드시 인증서를 발급받아야 하죠. 기업들이 많은 만큼 인증서도 많이 발급됩니다. 이중 하나만 훔쳐도 악성 해커들이 앱 스토어에 입성할 수 있게 되죠. 실제 많은 해커들이 이런 식으로 흘러 들어가 공식 게임 및 여러 앱들을 훔쳐냅니다. 암호를 풀고, 다시 편집하고, 훔친 인증서로 다시 서명을 해서 브이쉐어 같은 곳에 파는 거죠.” 프루프포인트의 설명이다.
이런 불법 앱 시장이 활성화되면 될수록, 그래서 사용자가 늘어나면 늘어날수록 기업들은 더욱 긴장의 끈을 놓을 수가 없게 된다. 그런 앱 하나 잘못 받은 직원이 네트워크에 접속했을 때 무슨 일이 벌어질지 예상이 불가능하기 때문이다.
“일반 직원들이 스스로 인지하지도 못한 채 멀웨어나 익스플로잇을 옮기는 감염체가 될 수도 있습니다. 자신의 기기는 물론 회사의 주요 시스템이 해커에게 장악당할 가능성을 열어두는 것이죠. 원래 제조사들이 탈옥을 철저하게 금지시켜온 건 이 때문이었습니다. 탈옥해야만 설치가 가능한 앱들은 높은 확률로 악성 코드가 주입되었다거나 해커의 익스플로잇이 쉽도록 하는 장치가 되어 있었거든요. 옛날부터 그랬어요. 인기가 많은 앱들은 거의 100% 악성이었고요.”
“브이쉐어와 같은 불법 시장은 계속 지켜볼 필요가 있습니다. 특히 최근 들어 iOS용 앱들을 많이 판매하기 시작한 건 의미가 깊습니다. 전 세계적인 모바일 환경에서 iOS도 드디어 본격적인 공략을 당하기 시작했다는 신호거든요.”
게다가 여기서 끝이 아니다. “인증서 탈취를 활용해서 공식 앱 스토어를 뚫어내고, 탈옥하지 않은 장치에까지 감염이 가능하다면 환경설정도 조작이 가능해집니다. 이는 공격자들이 트래픽을 우회시켜 중간자공격을 할 수 있도록 해줍니다. 그밖에 환경설정 조작으로 가능한 공격들은 다양하기도 하고요.”
iOS가 그 어느 때보다 공격에 시달린 한해의 마지막 날, 애플의 공식 앱 스토어에 최후의 일격이 날아들었다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
인기 있는 공식 앱 훔쳐 리패키징한 후 어둠의 시장에 되팔아
[보안뉴스 문가용] 아이폰과 맥킨토시가 뚫려도 그게 다 결국은 비공식 앱 스토어를 사용했기 때문이라며 애플이 공식으로 운영하는 앱 스토어만큼은 안전하다고 믿고 있다면, 이제 그 생각을 좀 달리해야 할 때다. 해커들이 공식 앱 스토어에 자유롭게 드나드는 법을 발견했기 때문이다. 그것은 바로 앱 스토어에서 통용되는 공식 인증서를 기업으로부터 훔쳐내는 것이다. 인증서만 있으면 누구나 앱 스토어에 입장할 수 있게 된다.
▲ 결국, 이곳마저도 함락되는 건가...
프루프포인트(Proofpoint)의 연구원들은 이런 식으로 악성 앱을 앱 스토어에 등록하는 과정 혹은 이런 식으로 등록된 악성 앱을 다크사이드로더(DarkSideLoader)라고 부른다. 다크사이드로더의 활동이 가장 활발한 앱 시장으로 브이쉐어(vShare)가 있다. 브이쉐어는 아이폰과 아이패드용 유료 앱들 백만 개를 무료로 구할 수 있는 곳으로 원래는 안드로이드와 탈옥된 iOS 기기용 앱들만 다루어왔다. 브이쉐어가 정식 아이폰 및 아이패드 앱들도 유통하기 시작했다는 건 탈옥 여부가 이제는 해커들에게 큰 영향을 못 끼친다는 걸 반증한다.
“앱 스토어에 공식으로 앱을 등록해서 사용하고자 하는 기업들은 반드시 인증서를 발급받아야 하죠. 기업들이 많은 만큼 인증서도 많이 발급됩니다. 이중 하나만 훔쳐도 악성 해커들이 앱 스토어에 입성할 수 있게 되죠. 실제 많은 해커들이 이런 식으로 흘러 들어가 공식 게임 및 여러 앱들을 훔쳐냅니다. 암호를 풀고, 다시 편집하고, 훔친 인증서로 다시 서명을 해서 브이쉐어 같은 곳에 파는 거죠.” 프루프포인트의 설명이다.
이런 불법 앱 시장이 활성화되면 될수록, 그래서 사용자가 늘어나면 늘어날수록 기업들은 더욱 긴장의 끈을 놓을 수가 없게 된다. 그런 앱 하나 잘못 받은 직원이 네트워크에 접속했을 때 무슨 일이 벌어질지 예상이 불가능하기 때문이다.
“일반 직원들이 스스로 인지하지도 못한 채 멀웨어나 익스플로잇을 옮기는 감염체가 될 수도 있습니다. 자신의 기기는 물론 회사의 주요 시스템이 해커에게 장악당할 가능성을 열어두는 것이죠. 원래 제조사들이 탈옥을 철저하게 금지시켜온 건 이 때문이었습니다. 탈옥해야만 설치가 가능한 앱들은 높은 확률로 악성 코드가 주입되었다거나 해커의 익스플로잇이 쉽도록 하는 장치가 되어 있었거든요. 옛날부터 그랬어요. 인기가 많은 앱들은 거의 100% 악성이었고요.”
“브이쉐어와 같은 불법 시장은 계속 지켜볼 필요가 있습니다. 특히 최근 들어 iOS용 앱들을 많이 판매하기 시작한 건 의미가 깊습니다. 전 세계적인 모바일 환경에서 iOS도 드디어 본격적인 공략을 당하기 시작했다는 신호거든요.”
게다가 여기서 끝이 아니다. “인증서 탈취를 활용해서 공식 앱 스토어를 뚫어내고, 탈옥하지 않은 장치에까지 감염이 가능하다면 환경설정도 조작이 가능해집니다. 이는 공격자들이 트래픽을 우회시켜 중간자공격을 할 수 있도록 해줍니다. 그밖에 환경설정 조작으로 가능한 공격들은 다양하기도 하고요.”
iOS가 그 어느 때보다 공격에 시달린 한해의 마지막 날, 애플의 공식 앱 스토어에 최후의 일격이 날아들었다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
