"iOS와 OS X 악성코드의 새로운 시대" 애플 운영체제만 노리는 중국발 신종 악성코드 '와이어러커' 기승

애플 운영체제만을 전문으로 노리는 중국발 '와이어러커(WireLurker)' 악성코드 때문에 애플 커뮤니티가 들썩이고 있습니다.

그동안 iOS는 악성코드에 상당히 안전한 운영체제로 알려져 왔습니다. 이는 애플이 앱스토어 심사를 통해 악성코드가 심어져 있는 앱 설치를 사전에 차단했고, 설령 심사를 통과하더라도 앱에 최소한의 권한만을 주는 샌드박스 구조 때문에 내부 시스템 접근이 원천적으로 막혀 있기 때문입니다. 샌드박스 구조를 무장해제시키는 탈옥 기기를 목표로 하는 악성코드가 나온 적은 있지만, 순정 아이폰에서는 악성코드가 문제시 될 가능성은 무척 낮았던 것이 사실입니다.

그런데 다름 아닌 사용자 본인의 맥 컴퓨터를 숙주로 활용해 iOS 기기를 감염시키는 새로운 형태의 악성코드가 발견됐습니다.

맥과 아이폰을 USB 케이블(와이어)로 연결하면 감염된다고 해서 ‘와이어러커(WireLurker)’라는 이름으로 명명되었는데, 아이폰에 직접 악성코드를 설치하기 어려우므로 상대적으로 자유롭게 앱을 설치할 수 있는 맥을 역이용한 악성코드입니다.

미국의 IT 보안 업체 '팔로알토네트웍스(Palo Alto Networks)'는 애플의 운영체제를 전문으로 노리는 와이어러커 악성코드가 중국 사설 앱스토어를 중심으로 빠르게 확산되고 있다고 지난 5일 발표했습니다. 유료 앱과 게임을 불법으로 유통하는 '마이야디(Maiyadi)' 등의 중국 앱스토어에서 앱을 내려받은 후 맥에서 실행하면 이 악성코드가 iOS 운영체제에 직접적인 영향을 미친다는 것입니다.

맥 운영체제도 샌드박스 정책이 기본적으로 적용돼 있지만, 맥 앱스토어가 아닌 외부 응용 프로그램도 설치가 허용됩니다. 이런 점을 악용해 맥에 숨어 들어간 악성코드는 사용자가 USB 케이블로 맥에 아이폰이나 아이패드를 연결할 때를 노려 사용자의 통화기록이나 주소록 등의 개인정보를 빼내간다고 알려져 있습니다.

* Flickr - Stephan Geyer

기관에 따르면 마이야디에서 공짜로 내려받을 수 있던 맥용 심즈3나 프로 에볼루션 사커 2014등의 게임을 포함해 다수의 앱에 와이어러커가 심어져 있었으며, 지난 6개월 동안 이러한 감염된 애플리케이션은 무려 35만건 이상 다운로드 된 것으로 추정된다고 발표했습니다. 또 이로 인해 수백, 수천만 건의 피해 사례가 예상된다는 분석을 내놨습니다.

이미 애플도 어제 이번 사태에 대한 공식 성명을 발표했습니다.

우선 맥 운영체제에 와이어러커가 침투할 수 없도록 XProtect 업데이트를 실시했으며, 또 사용자들이 애플이 관리하는 맥 앱 스토어가 아닌 서드파티 앱 스토어의 사용을 자제할 것을 권고하고 있습니다. 유료 앱이나 게임이 공짜로 제공된다는 이유로 신뢰도가 떨어지거나 미심쩍은 앱 스토어를 사용하면 위험하다는 것입니다.

팔로알토네트웍스측은 와이어러커 악성코드에 대해 기존에 나왔던 악성코드와는 확연히 다르다며, 코드 구조가 매우 복잡하고 자체 암호화 기능을 갖고 있어 스스로 발견되지 않게끔 하는 기능을 갖추고 있으므로 애플이 내놓은 패치를 우회할 가능성이 높아 앞으로도 악성코드로 인한 피해사례가 점차 늘어날 것이라고 주장했습니다.

그와 함께 아직까지 모바일 기기에서 정보를 수집하는 선에 머물러 있지만 앞으로 꾸준히 진화해 나갈 것으로 예상돼 "이제 애플 데스크톱과 모바일 운영체제도 바이러스에서 자유로울 수 없는 새로운 시대가 열리게 됐다"고 우려를 표명했습니다.

와이어러커 감염 여부 진단 및 현재 알려진 치료 방법

맹위를 떨치고 있는 와이어러커를 치료하는 방법이 전혀 없는 것은 아닙니다. 팔로알토네트웍스측이 공개한 방법인데요, 모든 맥용 응용 프로그램의 리소스(Resources) 폴더를 검사해 악성코드 유무를 판별하는 스크립트를 실행하는 방법입니다. 파이썬으로 제작된 이 스크립트는 깃 허브 사이트에 소스코드가 등록돼 있습니다.

1. 응용 프로그램 ▸ 유틸리티 폴더에 있는 '터미널'을 실행하고 다음 curl 명령어를 이용해 깃허브에서 스크립트를 내려받습니다. ▼

curl -O https://raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py

2. 이후 다음 명령어로 스크립트를 실행하고 결과를 기다립니다. 설치된 응용 프로그램 수에 따라 수~수십 분가량 걸릴 수 있습니다. ▼

python WireLurkerDetectorOSX.py

3. 감염이 확인되지 않는 경우는 화면에 다음과 같은 코멘트가 표시됩니다.

[+] Your OS X system isn't infected by the WireLurker. Thank you!

* 이상이 없으면 터미널을 종료하고 사용자 홈 폴더에 설치된 스크립트를 삭제합니다. ▼

4. 반대로 감염이 확인된 경우는 다음과 같은 경고문을 표시한다고 합니다.

[!] WARNING: Your OS X system is highly suspicious of being infected by the WireLurker.
[!] You may need to delete all malicious or suspicious files and/or applications above.
[!] For more information about the WireLurker, please refer:
http://researchcenter.paloaltonetworks.com/2014/11/wirelurker-new-era-os-x-ios-malware/

5. 악성코드가 발견된 경우 해당 앱을 삭제하고 악성코드가 생성한 다음과 같은 설정 파일을 시스템에서 몽땅 삭제합니다.

/Users/Shared/run.sh

/Library/LaunchDaemons/com.apple.machook_damon.plist
/Library/LaunchDaemons/com.apple.globalupdate.plist

/usr/bin/globalupdate /usr/local/machook/
/usr/bin/WatchProc
/usr/bin/itunesupdate

/Library/LaunchDaemons/com.apple.watchproc.plist
/Library/LaunchDaemons/com.apple.itunesupdate.plist

/System/Library/LaunchDaemons/com.apple.appstore.plughelper.plist
/System/Library/LaunchDaemons/com.apple.MailServiceAgentHelper.plist
/System/Library/LaunchDaemons/com.apple.systemkeychain-helper.plist
/System/Library/LaunchDaemons/com.apple.periodic-dd-mm-yy.plist

/usr/bin/com.apple.MailServiceAgentHelper
/usr/bin/com.apple.appstore.PluginHelper
/usr/bin/periodicdate
/usr/bin/systemkeychain-helper
/usr/bin/stty5.11.pl

6. 맥이 와이어러커에 감염되어 있는 경우 사용자의 iOS 기기도 감염되어 있을 가능성이 높아 기기를 재설정해야 합니다. 우선, 아이클라우드 백업을 이용하여 iOS의 모든 설정을 아이클라우드에 백업합니다. 맥용 아이튠즈를 사용하여 백업할 경우 악성코드에 영향을 받는 코드가 잔존할 수 있기 때문입니다. ▼