“오빠 믿어!”식 애플의 보안, 이젠 의심해야 할 때

2016-01-26 09:30
  • 카카오톡
  • 네이버 블로그
  • url
작년 9월의 엑스코드 사건 : 애플의 보안에 구멍 존재 시사
개발자들을 겨냥한 악성코드 배포, 감염 효과적이고 쉬워



[보안뉴스 문가용] 애플의 앱 스토어와 개발자들이 공존하는 고유 생태계를 ‘울타리가 있는 정원’이라고들 부른다. 닫힌 환경과 빡빡한 보안체제 때문이다. 이런 애플의 환경 조성은 2008년부터 안드로이드와 대비하여 눈에 띄기 시작했고, 꽤나 성공적으로 자리잡았다. 악성 앱이 앱 스토어로 진출하기란 여간 어려운 것이 아니었다. 그러나 2015년 9월 한 사건이 발생하면서 이 단단한 생태계에도 침투할 경로가 있었음이 드러났다.

처음 애플은 중국의 비인가 앱 스토어에 39개의 악성 앱이 있으며 이를 제거하는 데 성공했다고 발표했다. 여기에는 인기 메신저 앱과 교통정보 앱도 포함되어 있었다. 한 보안업체는 이 악성 앱들이 ‘굉장히 위험하고 해악하다’고 묘사할 정도였다. 이 앱들을 통해 민감한 정보를 빼가는 게 가능했기 때문이다.

이를 계기로 보안전문가들이 독립적으로 중국의 비인가 앱 스토어를 조사하기 시작했다. 39개는 344개로 늘어났고, 이는 곧 4000개를 뛰어 넘었다. 이 앱들의 다운로드 수를 합치면 수천 만을 훌쩍 넘었다. 이런 일련의 사건을 통해 앱 생태계의 취약한 고리가 드러났다. 다름 아닌 개발자. 개발자들이 힘들게 만든 결과물들은 사용자들의 무조건적인 신뢰를 받고 있는데, 개발자들이 전부 보안 수칙을 철저하게 지키거나 모든 사이버 공격에 면역인 건 아니었던 것이다.

그러다가 위에서 말한 그 사건이 작년 9월에 터졌다. 일명 애플 엑스코드(XCode) 사건으로, 개발자들이 애플용 앱을 개발할 때 사용하는 엑스코드라는 툴킷 자체를 누군가 감염시켜 퍼트린 것. 당연히 해당 툴킷으로 만들어진 앱들 역시 감염을 벗어날 수 없었고, 이는 걷잡을 수 없이 퍼져갔다. 중국은 정책적으로 미국 서버에서 뭔가를 다운로드 받는 게 금지되어 있거나 매우 긴 시간을 소요한다. 보통은 시간 단축을 위해서 중국 서버에서 받기 마련인데, 해커가 노린 건 바로 ‘인간은 될 수 있으면 지름길을 택한다’는 취약점이라고도 볼 수 있다. 게다가 ‘합법적인 개발자’가 개발한 제품이었으므로 공식 앱 스토어에 등록하는 것도 어렵지 않은 일이 됐다.

다행히 애플의 대응은 빨랐다. 그러나 역부족이었다. 해커들이 엑스코드 사건을 갖가지 방법으로 응용하기 시작했기 때문이다. 일단 해당 사건으로 인해 ‘애플이라고 해서 침투가 완전 불가능한 건 아니다’라는 엉뚱한 용기를 얻었다. 공식 앱 스토어로 가는 견고한 벽을 뚫어냈다는 건 해커들 사이에서 엄청난 의미를 가졌다.

두 가지 의미에서의 실패
게다가 이 사건을 제일 먼저 파악한 건 애플이 아니었다. 외부 보안전문가였다. 이 사실 자체만으로도 애플의 보안 시스템에 구멍이 분명히 존재한다는 게 드러났다. 애플은 1) 개발자가 앱 개발을 위해 사용하는 툴이 정상인지 아닌지 파악할 수 없으며 2) 공식 스토어에 진출한 앱의 존재를 파악하지도 못하는 것이다. 게다가 지금 애플은 개발자가 앱을 개발하고 앱 스토어를 통해 배포하는 것까지 모두 관리할 수 있는 방향으로 가고 있다(delopment and deployment). 애플이 진지하게 이런 방향으로의 변환을 꾀하고 있다면 위의 두 가지 구멍은 상당히 치명적이다.

그렇기 때문에 애플은 엑스코드 사건을 사업 진행에 있어서의 중대한 경고로 받아들일 필요가 있다. 과거의 애플 생태계가 안전했다고 해서 그것이 미래를 보장하지는 않는다. 모든 것은 언젠가 변해야 한다. 게다가 애플의 기기는 높은 인기를 구가하고 있으며, 따라서 애플의 ‘닫힌’ 생태계는 영원할 수 없다. 이미 작년 1월에만 해도 전 세계에 퍼져 있는 애플 기기가 10억 대에 달한다는 보고서가 나올 정도였다. 개발자들은 개발자용 샵을 거의 맥에서만 이용하고, 중요 사업체의 임원진들 중 상당수가 아이폰으로 중요한 이야기를 나눈다. 해커들이 애플의 생태계를 쉽게 포기하지 않을 거라는 것과 동일한 의미다.

아직 애플이 그간 구축해 온 보안 생태계를 뒤집을 지 유지할 지 정확하게 알려진 바는 없다. 하지만 해커들의 계속 되는 공격에 애플이 얼마나 빨리 대응을 하고, 얼마나 피해 규모를 축소시키는지를 살펴본다면 대충 견적이 나올 것이다. 걷잡을 수 없이 커지는 애플의 생태계에 잘 어울리는 행동 분석, 엔드포인트 보안 등 어떤 기술을 지금 연구해 적용할지 지켜보는 것도 보안 업계의 좋은 흥밋거리가 될 걸로 보인다.

하지만 그 동안 우리는 계속 당하고만 있어야 하나? 아니면 안드로이드로 잠깐 옮겼다가 올까? 일단 개발자로서는 개발용 툴셋의 합법성 및 위험성을 꼼꼼히 검토해보는 습관을 가지는 것이 중요하다. 새로운 버전이 떴다면, 출처가 어디이고 시점이 언제인지 파악해 수상쩍은 환경변수를 먼저 제거하고, 다운로드가 시작되는 서버를 조사해보는 것도 이제는 필수다.

역사적으로 봤을 때 보안에 대한 애플의 자세는 다음과 같았다. “우리만 믿어. 우리의 최첨단 기술과 통제력만 믿으면 모든 게 안전해. 그러니 공식적인 경로로, 공식적인 앱만 받아서 권장사용 사항을 준수해.” 하지만 이제 이를 의심해도 되는 때다. 아마 지금쯤 애플도 소비자들의 의심에 반박하지 못할 것이다. 제조사로서는 의심하는 소비자를 의식치 않을 수 없다.

글 : 폴 드라포(Paul Drapeau)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기