애플, OS X 보안 업데이트 실시... '가짜 Xcode 맥에서 못 쓴다'

2015. 9. 24. 20:00    작성자: ONE™

해커에 위해 변조된 'Xcode'가 맥에서 실행되는 것을 차단하기 위해 애플이 XProtect 보안 업데이트를 실시했습니다.

XProtect는 맥 운영체제 탑재되어 있는 악성코드 블랙리스트로, XProtect.plist와 XProtect.meta.plist 파일로 이루어져 있으며 악성코드를 탐지하고 실행을 막는 역할을 수행합니다. 전자에는 악성코드 이름과 같은 식별자 정보가, 후자에는 운영체제 보안을 취약하게 만드는 플러그인의 정보가 포함돼 있습니다. 

맥 운영체제는 하루에 한번 애플 서버에 접속해 XProtect 변경사항을 확인하고 자동으로 업데이트를 수행합니다. 따라서 사용자가 별도로 업데이트를 해야 할 필요는 없습니다.

애플이 23일 갱신한 XProtect.plist 파일을 열어보면 'OSX.XcodeGhost.A' 라는 식별자가 추가된 것을 볼 수 있습니다. 즉, 애플이 앱스토어에서 앱을 삭제하더라도 변조된 개발툴을 통해 문제가 있는 앱이 계속 생산될 수 있으므로 아예 사용을 못하도록 차단해 버린 것입니다. 앞서 애플이 할 수 있는 조치 가운데 가장 강도 높은 조치라고 할 수 있습니다.

한편, 이번에 갱신된 XProtect는 엑스코드고스트 외에도 사파리용 플러그인 3종류를 차단합니다. 
∙ com.portsayd.safari
∙ com.diigo.safari.awesomeScreenshot
∙ com.nariabox .safari

웹페이지 캡처용 확장 프로그램인 'AwesomeScreenshot'은 국내에서도 쓰고 계신 분들이 많은 걸로 알고 있는데, 웹페이지에 광고를 삽입하는 코드가 보안업체에 의해 발견된 바 있습니다. 이후 애플 익스텐션 갤러리에서 삭제됐고 현재는 구글 크롬에 대응하는 버전만 배포되고 있습니다.

XProtect 업데이트 내역

∙ 2014년 11월 24일 : OSX.Machook.A/B(와이어러커) 등 악성코드 2종 차단
∙ 2014년 12월 12일 : 어도비 플래시 플레이어 16.0.0.235 또는 13.0.0.259 버전 차단
∙ 2015년 01월 27일 : 어도비 플래시 플레이어 16.0.0.296 또는 13.0.0.264 버전 차단
∙ 2015년 02월 14일 : OSX/OpinionSpy 및 플래시 플레이어 16.0.0.305 또는 13.0.0.269 버전 차단
∙ 2015년 03월 22일 : 어도비 플래시 플레이어 17.0.0.134 또는 13.0.0.277 버전 차단
∙ 2015년 06월 26일 : 어도비 플래시 플레이어 18.0.0.194 또는 13.0.0.296 버전 차단
∙ 2015년 06월 27일 : com.codec.extension 포함 악성코드 12종 차단
∙ 2015년 07월 11일 : 어도비 플래시 플레이어 18.0.0.203 또는 13.0.0.302 버전 차단
∙ 2015년 09월 4일 : OSX.Genieo.C 악성코드 차단 *승인버튼 클릭 유도 악성코드
∙ 2015년 09월 23일 : OSX.XcodeGhost.A 및 사파리용 확장 프로그램 3종 차단

- xprotect.meta.plist



관련 글
• 잘 알려지지 않은 OS X 보안 체계의 한 기둥 'XProtect'
• 'XProtect'의 업데이트 여부를 알림센터로 모니터링하는 방법
• OS X 보안 구멍 '플래시 플레이어' 삭제하기
• 애플, 개발자에게 Xcode 정품 여부 가리는 검증방법 공개

    
  1. Blog Icon
    GRE

    자동 보안 업데이트라니.. 역시 스마트한 맥..

  2. Blog Icon
    원님팬

    역시 애플은 보안을 굉장히 중요하게 생각하는군요. 예방책을 저렇게 멋지게 마련하는 것을 보면요.

  3. 어썸스크린샷 광고 있어도 그냥 쓸려고 했는데 사파리가 알아서 막아버리네요. 그냥 사라졌어요..;; 대체를 찾아야 하는데 썩 마음에 드는 것들이 눈에 띄지 않는군요

  4. Blog Icon
    맥조아

    역시 발빠른 대처!!!
    맥의 장점이죠~~^^

  5. Blog Icon
    하이

    저도 사파리에서 어썸스크린샷이 없어서 왜 없어졌나 궁금했는데 애플에서 삭제했군요... 휴.. 다행입니다... 잘못된 줄 알았네여 ㅋㅋㅋ

  6. Blog Icon
    로빈

    따로 업데이트를 해야 하는건가요?

  7. Blog Icon
    POOH

    어썸스크린샷 비슷한 확장프로그램 없을까요... 유용하게 썼었는데... ㅜㅜ