해커에 위해 변조된 'Xcode'가 맥에서 실행되는 것을 차단하기 위해 애플이 XProtect 보안 업데이트를 실시했습니다.
XProtect는 맥 운영체제 탑재되어 있는 악성코드 블랙리스트로, XProtect.plist와 XProtect.meta.plist 파일로 이루어져 있으며 악성코드를 탐지하고 실행을 막는 역할을 수행합니다. 전자에는 악성코드 이름과 같은 식별자 정보가, 후자에는 운영체제 보안을 취약하게 만드는 플러그인의 정보가 포함돼 있습니다.
맥 운영체제는 하루에 한번 애플 서버에 접속해 XProtect 변경사항을 확인하고 자동으로 업데이트를 수행합니다. 따라서 사용자가 별도로 업데이트를 해야 할 필요는 없습니다.
애플이 23일 갱신한 XProtect.plist 파일을 열어보면 'OSX.XcodeGhost.A' 라는 식별자가 추가된 것을 볼 수 있습니다. 즉, 애플이 앱스토어에서 앱을 삭제하더라도 변조된 개발툴을 통해 문제가 있는 앱이 계속 생산될 수 있으므로 아예 사용을 못하도록 차단해 버린 것입니다. 앞서 애플이 할 수 있는 조치 가운데 가장 강도 높은 조치라고 할 수 있습니다.
한편, 이번에 갱신된 XProtect는 엑스코드고스트 외에도 사파리용 플러그인 3종류를 차단합니다.
∙ com.portsayd.safari
∙ com.diigo.safari.awesomeScreenshot
∙ com.nariabox .safari
웹페이지 캡처용 확장 프로그램인 'AwesomeScreenshot'은 국내에서도 쓰고 계신 분들이 많은 걸로 알고 있는데, 웹페이지에 광고를 삽입하는 코드가 보안업체에 의해 발견된 바 있습니다. 이후 애플 익스텐션 갤러리에서 삭제됐고 현재는 구글 크롬에 대응하는 버전만 배포되고 있습니다.
XProtect 업데이트 내역
∙ 2014년 11월 24일 : OSX.Machook.A/B(와이어러커) 등 악성코드 2종 차단
∙ 2014년 12월 12일 : 어도비 플래시 플레이어 16.0.0.235 또는 13.0.0.259 버전 차단
∙ 2015년 01월 27일 : 어도비 플래시 플레이어 16.0.0.296 또는 13.0.0.264 버전 차단
∙ 2015년 02월 14일 : OSX/OpinionSpy 및 플래시 플레이어 16.0.0.305 또는 13.0.0.269 버전 차단
∙ 2015년 03월 22일 : 어도비 플래시 플레이어 17.0.0.134 또는 13.0.0.277 버전 차단
∙ 2015년 06월 26일 : 어도비 플래시 플레이어 18.0.0.194 또는 13.0.0.296 버전 차단
∙ 2015년 06월 27일 : com.codec.extension 포함 악성코드 12종 차단
∙ 2015년 07월 11일 : 어도비 플래시 플레이어 18.0.0.203 또는 13.0.0.302 버전 차단
∙ 2015년 09월 4일 : OSX.Genieo.C 악성코드 차단 *승인버튼 클릭 유도 악성코드
∙ 2015년 09월 23일 : OSX.XcodeGhost.A 및 사파리용 확장 프로그램 3종 차단- xprotect.meta.plist
관련 글
• 잘 알려지지 않은 OS X 보안 체계의 한 기둥 'XProtect'
• 'XProtect'의 업데이트 여부를 알림센터로 모니터링하는 방법
• OS X 보안 구멍 '플래시 플레이어' 삭제하기
• 애플, 개발자에게 Xcode 정품 여부 가리는 검증방법 공개
