엑스코드고스트 사태 후 4개월, 개발자들 또 다시 우회로 되나
[보안뉴스 문가용] 애플의 단단한 환경에 또 다른 금이 발견되었다. 탈옥을 하지 않은 iOS 기기들에도 영향이 가는 취약점이다. 아이러니한 것은 이 취약점은 앱 개발자들이 애플의 공식 절차를 거치지 않고 빠르게 보안 업데이트를 배포할 때 사용하는 핫패치 툴에서 발견되었다는 것이라고 파이어아이(FireEye)는 보도했다.
.jpg)
지난 9월 엑스코드고스트(XCodeGhost) 사건이 발생한 이후 탈옥하지 않은 iOS 기기들이 안전하다는 건 옛말이 되었다. 앱 스토어에 정상적인 앱을 개발해 올려놓는 개발자들을 공략하면 쉽게 멀웨어가 침투된다는 사실이 드러났기 때문이다. 그로부터 4개월, 비슷한 사건이 또 터진 것이다.
애플은 앱 스토어에 앱을 함부로 등록시켜주지 않는다. 애플만의 점검 과정을 거치고, 이에 통과한 것들만 공식 앱 스토어에 이름을 올릴 수 있다. 이에 대해 파이어아이는 “이는 iOS 사용자들을 보호하기 위한 것으로 애플이 정한 보안 표준을 자라 지킨 개발자들만 이 생태계 안에서 활동할 수 있도록 한다”고 그 목적성에 대해 설명하면서 “그러나 사실 이는 개발자들에게 굉장히 어렵고 피곤할 수 있는 과정이다”라고 단점도 드러냈다.
그런데 문제는 앱을 새로 등록할 때처럼 귀찮은 과정을 기존 앱 업데이트 할 때도 거쳐야 한다는 것이다. 시급하거나 중대한 취약점을 픽스하는 경우처럼 사안이 급할 때 개발자가 느끼는 압박감과 초조함은 이루 말할 수 없다고 한다. “당연히 이는 짜증으로 전환된다는 게 개발자들이 평소 느끼는 솔직한 감정입니다.”
물론 신규 앱을 등록하는 과정과 기존 앱의 업데이트를 등록하는 과정이 완전히 똑같은 건 아니다. 하지만 업데이트 코드가 승인을 받는 데에 걸리는 평균 시간은 7일이다. 보안 업데이트라면 7일은 굉장히 길다고 볼 수 있는 기간이다. 그래서 개발자들은 이를 우회할 수 있는 방법을 고안하기 시작했다. 그리고 패치만큼은 좀 더 직접, 빨리 배포할 수 있는 툴을 만들어냈다.
“이 툴의 장점은 개발자들의 독립성을 좀 더 보장해준다는 것입니다. 하지만 애플이 정식으로 요구하는 보안 표준과는 사뭇 다른 점이 있지요. 개발자들에게 독립성을 부여하는 만큼 애플의 보안 표준을 개발자들이 스스로 지켜야 하는 건데, 이것이 제대로 지켜지는가는 의문입니다. 사실 여태까지 인간의 경험으로 봤을 때 그렇지 않을 가능성이 더 크겠죠. 결국 언젠가 악용될 아킬레스건 같은 거였습니다.”
파이어아이는 먼저 JSPatch라는 것을 시작으로 이런 ‘지름길’ 툴들을 분석해나가기 시작했다. JSPatch는 오픈소스 프로젝트로 애플의 JavaScriptCore 프레임워크를 기반으로 하고 있다. JSPatch가 임베드된 앱의 경우 보안 업데이트를 아무 때나 자유롭게 적용할 수 있게 된다.
현재 이 JSPatch를 사용하고 있는 앱은 앱 스토어에 1220개가 존재한다. 대부분 중국 앱 스토어의 앱들이다. 이 1220개 중 악성 앱은 하나도 없다. 다만 JSPatch라는 툴이 삽입되어 있기 때문에 앞으로 악성 앱으로 변모할 가능성이 다분하다는 게 파이어아이의 분석 결과다.
파이어아이는 JSPatch가 악용될 수 있는 세 가지 시나리오를 제시했다.
1. 악성 개발자가 악성 기능이 없는 앱을 개발하되 JSPatch를 심어놓는다. 그리고 애플의 승인을 받는 데 성공해 등록시킨 후 악성 코드가 삽입된 패치를 사용자들에게 배포한다.
2. 악성 광고 SDK(소프트웨어 개발 킷) 제작자가 JSPatch를 SDK에 삽입시킨다. 평범한 개발자가 합법적인 목적으로 SDK를 물색하다가 해당 SDK를 다운로드 받고 사용한다. 그렇게 개발된 앱이 앱 스토어에 등록되면, 최초 SDK 제작자가 JSPatch를 통해 악성 JavaScript를 퍼트린다.
3. 중간자 공격을 전문으로 하는 공격자가 클라이언트-서버 간 통신을 가로챈다. 그런 후 앱 개발자가 사용자에게 보내는 JavaScript를 임의로 수정한다.
파이어아이가 밝힌 취약점이 완전히 새로운 개념은 아니다. 다만 ‘개발자’를 우회해 사용자를 노리는 수법 앞에 100% 면역성을 자랑하는 체제나 환경은 존재하지 않는다는 것이 불과 4개월 만에 다시 한 번 드러났다는 점은 시사하는 바가 적지 않다. 사용자의 보안 교육도 중요하지만 개발자의 보안 교육도 시급하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용] 애플의 단단한 환경에 또 다른 금이 발견되었다. 탈옥을 하지 않은 iOS 기기들에도 영향이 가는 취약점이다. 아이러니한 것은 이 취약점은 앱 개발자들이 애플의 공식 절차를 거치지 않고 빠르게 보안 업데이트를 배포할 때 사용하는 핫패치 툴에서 발견되었다는 것이라고 파이어아이(FireEye)는 보도했다.
지난 9월 엑스코드고스트(XCodeGhost) 사건이 발생한 이후 탈옥하지 않은 iOS 기기들이 안전하다는 건 옛말이 되었다. 앱 스토어에 정상적인 앱을 개발해 올려놓는 개발자들을 공략하면 쉽게 멀웨어가 침투된다는 사실이 드러났기 때문이다. 그로부터 4개월, 비슷한 사건이 또 터진 것이다.
애플은 앱 스토어에 앱을 함부로 등록시켜주지 않는다. 애플만의 점검 과정을 거치고, 이에 통과한 것들만 공식 앱 스토어에 이름을 올릴 수 있다. 이에 대해 파이어아이는 “이는 iOS 사용자들을 보호하기 위한 것으로 애플이 정한 보안 표준을 자라 지킨 개발자들만 이 생태계 안에서 활동할 수 있도록 한다”고 그 목적성에 대해 설명하면서 “그러나 사실 이는 개발자들에게 굉장히 어렵고 피곤할 수 있는 과정이다”라고 단점도 드러냈다.
그런데 문제는 앱을 새로 등록할 때처럼 귀찮은 과정을 기존 앱 업데이트 할 때도 거쳐야 한다는 것이다. 시급하거나 중대한 취약점을 픽스하는 경우처럼 사안이 급할 때 개발자가 느끼는 압박감과 초조함은 이루 말할 수 없다고 한다. “당연히 이는 짜증으로 전환된다는 게 개발자들이 평소 느끼는 솔직한 감정입니다.”
물론 신규 앱을 등록하는 과정과 기존 앱의 업데이트를 등록하는 과정이 완전히 똑같은 건 아니다. 하지만 업데이트 코드가 승인을 받는 데에 걸리는 평균 시간은 7일이다. 보안 업데이트라면 7일은 굉장히 길다고 볼 수 있는 기간이다. 그래서 개발자들은 이를 우회할 수 있는 방법을 고안하기 시작했다. 그리고 패치만큼은 좀 더 직접, 빨리 배포할 수 있는 툴을 만들어냈다.
“이 툴의 장점은 개발자들의 독립성을 좀 더 보장해준다는 것입니다. 하지만 애플이 정식으로 요구하는 보안 표준과는 사뭇 다른 점이 있지요. 개발자들에게 독립성을 부여하는 만큼 애플의 보안 표준을 개발자들이 스스로 지켜야 하는 건데, 이것이 제대로 지켜지는가는 의문입니다. 사실 여태까지 인간의 경험으로 봤을 때 그렇지 않을 가능성이 더 크겠죠. 결국 언젠가 악용될 아킬레스건 같은 거였습니다.”
파이어아이는 먼저 JSPatch라는 것을 시작으로 이런 ‘지름길’ 툴들을 분석해나가기 시작했다. JSPatch는 오픈소스 프로젝트로 애플의 JavaScriptCore 프레임워크를 기반으로 하고 있다. JSPatch가 임베드된 앱의 경우 보안 업데이트를 아무 때나 자유롭게 적용할 수 있게 된다.
현재 이 JSPatch를 사용하고 있는 앱은 앱 스토어에 1220개가 존재한다. 대부분 중국 앱 스토어의 앱들이다. 이 1220개 중 악성 앱은 하나도 없다. 다만 JSPatch라는 툴이 삽입되어 있기 때문에 앞으로 악성 앱으로 변모할 가능성이 다분하다는 게 파이어아이의 분석 결과다.
파이어아이는 JSPatch가 악용될 수 있는 세 가지 시나리오를 제시했다.
1. 악성 개발자가 악성 기능이 없는 앱을 개발하되 JSPatch를 심어놓는다. 그리고 애플의 승인을 받는 데 성공해 등록시킨 후 악성 코드가 삽입된 패치를 사용자들에게 배포한다.
2. 악성 광고 SDK(소프트웨어 개발 킷) 제작자가 JSPatch를 SDK에 삽입시킨다. 평범한 개발자가 합법적인 목적으로 SDK를 물색하다가 해당 SDK를 다운로드 받고 사용한다. 그렇게 개발된 앱이 앱 스토어에 등록되면, 최초 SDK 제작자가 JSPatch를 통해 악성 JavaScript를 퍼트린다.
3. 중간자 공격을 전문으로 하는 공격자가 클라이언트-서버 간 통신을 가로챈다. 그런 후 앱 개발자가 사용자에게 보내는 JavaScript를 임의로 수정한다.
파이어아이가 밝힌 취약점이 완전히 새로운 개념은 아니다. 다만 ‘개발자’를 우회해 사용자를 노리는 수법 앞에 100% 면역성을 자랑하는 체제나 환경은 존재하지 않는다는 것이 불과 4개월 만에 다시 한 번 드러났다는 점은 시사하는 바가 적지 않다. 사용자의 보안 교육도 중요하지만 개발자의 보안 교육도 시급하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
