2015.10.06

중국 해커, iOS를 노리다…기업용 앱 배포 과정과 프라이빗 API 이용

Gregg Keizer | Computerworld
거의 1년 동안 중국 해커들이 iOS 디바이스를 감염시키기 위해 새로운 공격 방식을 이용했고, 탈옥하지 않은 아이폰을 포함해 많은 iOS 디바이스에 애드웨어를 심은 것으로 드러났다.

보안 전문업체 팔로알토 네트워크의 위협 정보 디렉터 라이언 올슨은 ‘이스펙터(YiuSpecter)’라는 악성 코드는 중국 해커들에 의해 중국에서 만들어 졌으며, 화면 텍스트도 중국 문자로 표시된다고 밝혔다. 이 악성코드는 거의 중국과 대만에서만 배포됐다.

이스펙터는 보안 전문가들이 이론적으로만 논의하던 것을 실제로 구현해 보였다는 점에서 주목을 받고 있는데, 애플의 앱 검사를 피하는 것은 물론, 애플만이 사용하는 프라이빗 API를 이용해 아이폰에 몰래 숨어 신뢰할 수 있는 앱으로 가장해 사파리를 비롯한 앱을 가로채 승인되지 않은 광고를 보여준다.

올슨은 이스펙터가 두 가지 공격 벡터를 조합해 아이폰이나 아이패드 사용자가 악성 코드를 설치하도록 속였는데, 이 중 한 가지 벡터는 iOS에서는 처음 사용되는 것이라고 설명했다.

이번 악성 코드는 애플의 기업용 앱 배포 과정을 악용했는데, 이 과정은 기업이 자체적인 iOS 앱을 만들어 이를 애플의 인증 과정이나 앱스토어를 거치지 않고 직원들에게 배포할 때 사용된다. 이 때 디지털 서명을 사용해 특정 기업임을 확인하는데, 이들 서명은 애플이 발행한다.

해커들은 훔치거나 우연히 얻게 된 인증서로 기업의 앱 배포 과정을 악용해 왔는데, 2014년의 발견된 와이어러커(Wirelurker)가 대표적인 예다.

이스펙터는 여기에 학계에서나 거론되던 프라이빗 API를 이용해 악성코드를 강화했다. 프라이빗 API는 애플이 감춰 놓고 사용하는 것이다. 올슨은 “프라이빗 API는 iOS 내부에 있지만, 애플이 자체 앱에만 사용하거나 일반에 공개할 준비가 안된 것들이다”라고 설명했다. .

프라이빗 API는 다양한 기술을 이용해 찾아낼 수 있으며, 특히 iOS 프레임워크에 추가되어 있지만 일반 개발자용으로 발표되지 않은 경우에는 비밀이 오래 가지 못한다.

이스펙터를 만든 해커는 표준 iOS 앱으로 액세스할 수 없는 기능을 얻기 위해 여러 개의 프라이빗 API를 이용했는데, 스프링보드와 iOS의 홈 화면에서 앱을 숨기는 API를 사용해 실질적으로 이스펙터를 찾거나 삭제할 수 없도록 했으며, iOS 시스템 앱의 로고와 이름도 가로챘다.

애플은 제출된 앱의 프라이빗 API 사용 여부를 검사하는데, 발견되면 해당 앱은 거부된다. 하지만 이스펙터는 공식 앱 스토어가 아니라 기업용 인증서와 배포 채널을 이용했기 때문에 애플이 이 과정에 개입할 여지가 없었다. 사용자는 이들 앱을 다운로드해 설치하겠냐는 팝업 화면을 보고 습관적으로 확인을 누르게 된다.

한편 올슨은 이들 악성코드가 중국과 대만 이외의 지역에 배포됐을 가능성은 낮다고 말했다. 하지만 애플의 앱 검사 과정과 기업의 앱 배포 관행은 여전히 공격 위협 아래에 있다는 것은 분명하다.

애플은 기업의 앱 배포 문제를 해결하기 위해 iOS 9에서 이런 앱의 설치 과정을 한층 까다롭게 만들었다. 설정 메뉴에서 여러 가지 항목을 분명하게 선택해야만 앱스토어 외에서 앱을 설치할 수 있도록 한 것이다.

하지만 프라이빗 API는 조금 더 어렵다. 올슨은 오브젝티브 C의 동작 방식 때문에 모든 프라이빗 API 사용을 단속하는 것은 힘들 것이라며, 이스펙터처럼 프라이빗 API를 이용한 악성 코드가 창궐할 수도 있다고 밝혔다.

올슨은 “오랫동안 애플의 “폐쇄된 정원’ 전략은 잘 먹혀들었다. 하지만 iOS 디바이스와 사용자가 귀중한만큼 이를 노리는 눈은 많다. 해커가 포기할 것이라고 생각하는 사람은 아무도 없다”라고 덧붙였다.

하지만 좀 더 낙관적인 견해도 있다. 래피드7의 글로벌 보안 전략 임원인 트레이 포드는 “애플 iOS 보안 모델의 붕괴를 의미하는 것은 아니다”라며, 해커들이 알고 있는 것은 특별히 예외적인 경우에 불과하기 때문에 사용자들이 기본적인 규칙만 준수한다면 프라이빗 API가 큰 위협은 아니라고 설명했다.  editor@itworld.co.kr


2015.10.06

중국 해커, iOS를 노리다…기업용 앱 배포 과정과 프라이빗 API 이용

Gregg Keizer | Computerworld
거의 1년 동안 중국 해커들이 iOS 디바이스를 감염시키기 위해 새로운 공격 방식을 이용했고, 탈옥하지 않은 아이폰을 포함해 많은 iOS 디바이스에 애드웨어를 심은 것으로 드러났다.

보안 전문업체 팔로알토 네트워크의 위협 정보 디렉터 라이언 올슨은 ‘이스펙터(YiuSpecter)’라는 악성 코드는 중국 해커들에 의해 중국에서 만들어 졌으며, 화면 텍스트도 중국 문자로 표시된다고 밝혔다. 이 악성코드는 거의 중국과 대만에서만 배포됐다.

이스펙터는 보안 전문가들이 이론적으로만 논의하던 것을 실제로 구현해 보였다는 점에서 주목을 받고 있는데, 애플의 앱 검사를 피하는 것은 물론, 애플만이 사용하는 프라이빗 API를 이용해 아이폰에 몰래 숨어 신뢰할 수 있는 앱으로 가장해 사파리를 비롯한 앱을 가로채 승인되지 않은 광고를 보여준다.

올슨은 이스펙터가 두 가지 공격 벡터를 조합해 아이폰이나 아이패드 사용자가 악성 코드를 설치하도록 속였는데, 이 중 한 가지 벡터는 iOS에서는 처음 사용되는 것이라고 설명했다.

이번 악성 코드는 애플의 기업용 앱 배포 과정을 악용했는데, 이 과정은 기업이 자체적인 iOS 앱을 만들어 이를 애플의 인증 과정이나 앱스토어를 거치지 않고 직원들에게 배포할 때 사용된다. 이 때 디지털 서명을 사용해 특정 기업임을 확인하는데, 이들 서명은 애플이 발행한다.

해커들은 훔치거나 우연히 얻게 된 인증서로 기업의 앱 배포 과정을 악용해 왔는데, 2014년의 발견된 와이어러커(Wirelurker)가 대표적인 예다.

이스펙터는 여기에 학계에서나 거론되던 프라이빗 API를 이용해 악성코드를 강화했다. 프라이빗 API는 애플이 감춰 놓고 사용하는 것이다. 올슨은 “프라이빗 API는 iOS 내부에 있지만, 애플이 자체 앱에만 사용하거나 일반에 공개할 준비가 안된 것들이다”라고 설명했다. .

프라이빗 API는 다양한 기술을 이용해 찾아낼 수 있으며, 특히 iOS 프레임워크에 추가되어 있지만 일반 개발자용으로 발표되지 않은 경우에는 비밀이 오래 가지 못한다.

이스펙터를 만든 해커는 표준 iOS 앱으로 액세스할 수 없는 기능을 얻기 위해 여러 개의 프라이빗 API를 이용했는데, 스프링보드와 iOS의 홈 화면에서 앱을 숨기는 API를 사용해 실질적으로 이스펙터를 찾거나 삭제할 수 없도록 했으며, iOS 시스템 앱의 로고와 이름도 가로챘다.

애플은 제출된 앱의 프라이빗 API 사용 여부를 검사하는데, 발견되면 해당 앱은 거부된다. 하지만 이스펙터는 공식 앱 스토어가 아니라 기업용 인증서와 배포 채널을 이용했기 때문에 애플이 이 과정에 개입할 여지가 없었다. 사용자는 이들 앱을 다운로드해 설치하겠냐는 팝업 화면을 보고 습관적으로 확인을 누르게 된다.

한편 올슨은 이들 악성코드가 중국과 대만 이외의 지역에 배포됐을 가능성은 낮다고 말했다. 하지만 애플의 앱 검사 과정과 기업의 앱 배포 관행은 여전히 공격 위협 아래에 있다는 것은 분명하다.

애플은 기업의 앱 배포 문제를 해결하기 위해 iOS 9에서 이런 앱의 설치 과정을 한층 까다롭게 만들었다. 설정 메뉴에서 여러 가지 항목을 분명하게 선택해야만 앱스토어 외에서 앱을 설치할 수 있도록 한 것이다.

하지만 프라이빗 API는 조금 더 어렵다. 올슨은 오브젝티브 C의 동작 방식 때문에 모든 프라이빗 API 사용을 단속하는 것은 힘들 것이라며, 이스펙터처럼 프라이빗 API를 이용한 악성 코드가 창궐할 수도 있다고 밝혔다.

올슨은 “오랫동안 애플의 “폐쇄된 정원’ 전략은 잘 먹혀들었다. 하지만 iOS 디바이스와 사용자가 귀중한만큼 이를 노리는 눈은 많다. 해커가 포기할 것이라고 생각하는 사람은 아무도 없다”라고 덧붙였다.

하지만 좀 더 낙관적인 견해도 있다. 래피드7의 글로벌 보안 전략 임원인 트레이 포드는 “애플 iOS 보안 모델의 붕괴를 의미하는 것은 아니다”라며, 해커들이 알고 있는 것은 특별히 예외적인 경우에 불과하기 때문에 사용자들이 기본적인 규칙만 준수한다면 프라이빗 API가 큰 위협은 아니라고 설명했다.  editor@itworld.co.kr


X