▲파이어아이, 아이폰에 악성앱 설치 동영상 이미지
 

US-Cert도 주의를 경고하고 있다. 웹페이지 열람 중에 팝업창에 뜨는 설치 버튼을 클릭하지 않아야 하며 앱을 실행시킬 때 “신뢰할 수 없는 앱 개발자”라는 경고가 뜰 경우, “신뢰하지 않음”을 클릭하고 앱을 삭제해야 한다. 또 신뢰할 수 없는 출처로부터 앱을 다운로드 하지 않아야 한다.
 
이에 보안블로그 ‘울지않는 벌새’는 블로그를 통해 “이번에 문제가 된 탈옥하지 않은 iOS 모바일 운영 체제가 악성앱에 감염될 수 있는 방법”에 대해 글을 게재했다.  
 
블로그 내용에 따르면, 애플에서는 앱 개발자를 위해 애플 앱스토어(Apple App Store)에 앱을 등록하지 않고 제작하는 앱을 테스트를 할 수 있도록 Provisioning Profile을 통해 등록된 기기에서 앱을 다운로드 및 설치할 수 있도록 Ad-Hoc 배포 방식을 허용하고 있다.
 
그런데 문제는 해당 배포 방식을 통해 제작된 정상적인 앱을 애플 앱 스토어에 등록할 때 사용하는 Bundle Idenifier 값을 검증하지 않는 보안 문제로 인해 타 배포지에서 동일한 값을 가진 앱에 대해 허용할 수 있다는 점이다.
 
그는 “이를 악용해 제한적으로 "Masque Attack"으로 불리는 순정 iOS 모바일 운영 체제에서도 악성앱이 설치되도록 공격이 이루어지고 있으며, 위와 같은 정보를 기반으로 조만간 국내를 대상으로 한 모바일 뱅킹, 개인정보 유출 등의 목적을 가진 악성앱이 스미싱 문자를 통해 유포될 수 있다”고 경고했다.
 
현재 iOS 모바일 운영 체제의 보안 취약점을 이용한 스미싱 문자가 존재한다는 국내 소식은 없지만 가상 시나리오를 통해 다음과 같은 형태로 공격이 이루어질 수 있음을 울지않는 벌새는 소개했다.
 
안드로이드 스마트폰 사용자를 대상으로 한 스미싱 문자와 유사한 방식으로 아이폰 사용자가 URL 주소가 포함된 문자 메시지를 클릭한다고 가정해 보자.
 
문자 메시지에 포함된 URL 주소를 통해 연결된 웹 사이트에 접속할 경우 팝업창을 생성해 사용자를 현혹할 수 있는 문구를 통해 특정앱 설치하도록 설치 버튼을 클릭하도록 유도할 수 있다. 아이폰의 경우에는 문자 메시지를 통해 앱 설치를 요구하는 경우에는 100% 악성앱으로 판단하고 절대로 설치 버튼을 클릭하지 말아야 한다.
 
만약 사용자가 설치 버튼을 클릭할 경우 아이폰에 이미 설치되어 있는 정상적인 앱 중에서 특정앱을 악성앱으로 바꿔치기 하며, 단지 필수적인 앱은 바꿔치기 하지 못한다.
 
감염된 아이폰 사용자가 악성앱으로 바꿔치기된 앱을 실행할 경우 "Untrusted App Developer(신뢰할 수 없는 앱 개발자)" 팝업창 생성을 통해 사용자가 실행하려는 앱의 개발자를 신뢰할지 묻는 경고창이 생성된다.
 
해당 경고창이 생성되는 경우에는 사용자가 실행하려는 앱이 감염으로 인해 악성앱으로 변경되었음을 의미하므로 절대로 "Trust(신뢰)"를 클릭하지 말고 "Don't Trust(신뢰 안 함)"을 클릭해 앱 실행을 종료후 삭제해야 한다.
 
‘Masque Attack’ 방식으로 감염된 아이폰의 경우에는 기존에 설치된 정상적인 앱을 악성앱으로 교체하는 과정에서 해당앱이 사용하는 데이터 파일은 유지해 정보를 탈취할 수 있으며, 만약 지메일 등이 악성앱으로 변경된 경우에는 캐싱된 메일, 로그인 토큰 등의 정보에 접근할 수 있다.
 
특히 국내의 경우 정상적인 금융앱을 감염시켜 금융 정보 탈취를 통한 금전적 피해를 유발할 가능성이 높다.
 
울지않는 벌새는 “이처럼 탈옥 여부와 상관없이 모든 iOS 모바일 운영 체제를 사용하는 아이폰은 Masque Attack 방식의 공격 대상이 될 수 있으므로 메일 또는 스미싱 문자에 포함된 URL 주소를 클릭해 의심스러운 웹 사이트에서 앱 설치를 유도할 수 있다는 점을 명심하시고 악성앱에 감염되는 일이 없도록 각별한 주의를 기울여야 한다”고 강조했다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com