파이어아이, iOS 타깃 악성코드 ‘엑스코드고스트’ 변종 및 추가 감염 포착

 

아주경제 권석림 기자 = 파이어아이는 지난 9월 논란됐던 iOS악성코드 엑스코드고스트(XcodeGhost)가 애플의 후속 조치에도 불구하고 최신 버전의 iOS까지 영향 미치는 변종이 출현하는 등 계속해서 활동하고 있다고 9일 밝혔다.

이에 따르면, 210개의 기업 네트워크에서 엑스코드고스트에 감염된 애플리케이션이 작동된 것을 발견했으며, 약 28000번이 넘는 CnC(Control-and-Command) 서버로의 연결 시도가 감지됐다.

지난 9월 엑스코드고스트 감염 사태 이후 애플은 감염된 앱을 앱스토어에서 차단하는 조치를 취했다. 하지만 파이어아이는 애플의 후속 조치에도 불구하고 악성코드가 미국 기업 네크워크로 침입해 보안 위협을 가하고 있다. 봇넷(Botnet)의 일부 역시 아직까지 활동하고 있다. 엑스코드고스트S(XcodeGhost S)라 불리는 변종 악성코드에 의한 침해 사례가 추가로 발견됐는데 이는 iOS9에까지 영향을 미치는 변종으로 기존 탐지 체계(static detection)를 우회한다.

파이어아이의 모바일 위협 분석 플랫폼(MTP)은 엑스코드고스트S에 실제 감염된 앱을 탐지했다. 이 앱은 '자유방(自由邦)'이라 불리는 여행자용 쇼핑 앱으로 미국과 중국 앱스토어에서 다운로드 가능하다. 현재는 애플에 의해 앱스토어에서 차단됐다.

파이어아이는 악성코드 감염 방지를 위해 가능한 빨리 해당 앱과 iOS 버전을 업데이트하길 권고했다.

전수홍 파이어아이 코리아 지사장은 “엑스코드고스트에 감염된 애플리케이션이 기업 네크워크에서 대거 발견된 만큼, 기업보안을 위해 직원들은 엑스코드고스트를 포함한 악성 iOS앱에 대해 경각심을 가지고, 모든 앱을 최신 버전으로 업데이트 해야 한다”고 말했다. 이어 “애플에 의해 차단 됐던 앱의 경우, 해당 앱 사용자들은 앱을 제거하고 앱스토어에서 감염되지 않은 앱으로 다시 다운로드해야 한다”고 덧붙였다.