맥용 웹 브라우저에 무분별하게 광고를 띄우는 'Trojan.Yontoo.1' 트로이 목마가 발견된지 하루 만에 애플이 해당 트로이 목마의 설치를 막는 Xprotect 업데이트를 배포하면서 확산이 일단락되는 분위기입니다.
Xprotect는 일종의 '블랙리스트'로 시스템 보안을 심각하게 위협한다고 판단되는 악성 코드와 그 악성 코드를 시스템 내부로 유입하는 소프트웨어의 실행을 막는 OS X의 보안 체계 중 하나입니다. (관련 글: 잘 알려지지 않은 OS X 보안 체계의 한 기둥 'XProtect')
애플은 해당 트로이 목마를 'OSX.AdPlugin.i'이라는 이름으로 식별하고, 해당 트로이 목마의 구체적인 정보를 담은 Xprotect.plist 파일을 자사 맥 컴퓨터에 전송하고 있습니다. 맥은 하루에 한 번 애플 서버에 접속해 블랙리스트 내역을 확인하고, 변동사항이 있을 때만 관련 파일을 자동으로 내려받기 때문에 사용자가 따로 취해야 할 조치는 없습니다.
하지만 Xprotect가 만능 보안 솔루션은 아닙니다. 악성코드가 첫 출현한 시점부터 애플이 업데이트를 배포할 때까지 보안 공백이 발생하며, 앞으로 기술적으로 진화된 변종 악성코드까지 증가할 것으로 예상되고 있는데 블랙리스트에 등록된 악성코드에만 대응하는 Xprotect는 이런 유형의 공격에는 취약하기 때문입니다. 이에 OS X에 소프트웨어나 플러그인을 설치할 때는 신뢰할 수 있는 출처를 이용하는 등 사용자의 보다 적극적인 보안 관리 대응이 필요합니다.
관련 글
• 맥용 웹 브라우저 노리는 트로이 목마 주의보
• 잘 알려지지 않은 OS X 보안 체계의 한 기둥 'XProtect'
