[김국배기자] 애플 앱스토어에서 백도어(Backdoor)로 쓰일 수 있는 악성 광고 라이브러리가 포함된 3천개에 달하는 iOS 앱(App)이 포착됐다. 백도어는 컴퓨터 시스템 설계자나 관리자가 일부러 열어놓은 보안구멍을 말한다.
파이어아이는 현재가지 2천846개의 iOS앱이 해당 라이브러리를 포함하고 있는 것으로 조사됐다고 17일 밝혔다. 공격 그룹은 감염된 라이브러리를 통해 사용자 및 기기정보에 악의적으로 접근할 수 있다.
파이어아이에 따르면 이 악성 라이브러리는 중국 광고회사 애드세이즈(adsage)의 모바일 광고사인 모비세이즈(mobisage)의 소프트웨어개발도구(SDK)에서 발견됐다. 이는 일반적으로 iOS 개발자들이 앱에서 광고를 게재하기 위해 활용한다.
파이어아이는 "모비세이즈 SDK의 5.3.3~6.4.4버전에 걸쳐 총 17개 버전에서 악성 광고 라이브러리가 포함된 것을 확인했고 가장 최신 버전인 7.0.5 버전에서는 발견되지 않았다"고 전했다.
애드세이즈가 직접 악성광고 라이브러리를 SDK에 추가했는지 다른 제3자에 의한 소행인지는 아직까지 밝혀지지 않았다고 파이어아이 측은 설명했다.
또한 백도어를 제어하는 자바 스크립트 코드를 받기 위한 원격 서버로의 접속이 900번 이상 포착됐다.
아직 원격 서버로부터 음성 녹음 또는 민감 정보를 유출하려는 악성 명령은 전달되지 않았지만, 감염된 앱들이 계속해서 새로운 자바스크립트 코드를 받기 위한 접속을 시도하고 있어 결국 백도어 기능이 활성화될 가능성을 배제할 수 없다는 것이 파이어아이의 설명이다.
악성 라이브러리의 잠재적인 백도어가 원격 서버에서 자바 스크립트 코드가 로드되면 음성 및 스크린샷 캡처, 디바이스 위치정보 모니터링 및 업로드, 암호화 데이터 원격 서버 게시, 앱의 키체인(Keychain) 읽기·쓰기·리셋 등의 기능을 수행한다.
모비세이즈의 악성 광고 라이브러리는 각각 오브젝티브-C와 자바 스크립트에서 실행되는 두 가지 구성 요소인 'msageCore'와 'masageJS'를 통해 iOS 기기를 대상으로 해킹을 시도한다.
전수홍 파이어아이코리아 대표는 "감염된 앱의 수가 대규모이고 계속해서 백도어 생성을 위한 서버 접속을 시도함에 따라 많은 iOS기기들이 백도어를 통한 해킹 위협에 처해있다"며 "파이어아이는 더 이상의 피해를 막기 위해 감염된 앱 리스트와 기술적인 정보를 애플에 공유한 상태"라고 말했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기