(씨넷코리아=권봉석 기자) 아이폰과 아이패드용 앱에 숨어 iOS 버전과 언어, 국가 등 이용자 정보를 빼돌려 외부 서버로 전송하는 악성코드 ‘엑스코드고스트‘가 여전히 살아 있으며 심지어 변종까지 나타났다. 보안업체 파이어아이가 공식블로그를 통해 이와 같이 밝혔다.
아직도 살아있는 엑스코드고스트
엑스코드고스트는 9월 하순 보안업체 팔로알토 네트웍스가 발견한 악성코드다. 이 악성코드는 애플 공식 사이트가 아닌 바이두 클라우드에 올라와 있던 아이폰 앱 개발도구 엑스코드에 숨어 있다가 퍼져나갔다.
중국을 포함해 전세계적으로 6억명의 가입자를 확보한 모바일 메신저 앱 위챗과 중국 내 유사택시 앱 ‘디디추씽’ 등 총 39개 앱이 엑스코드고스트에 감염되었고 애플은 앱스토어에서 이들 앱을 내렸다. 위챗 운영사인 텐센트 등 앱 개발자들도 엑스코드고스트를 제거한 새 앱을 앱스토어에 다시 등록했다.
하지만 엑스코드고스트가 숨은 앱이 여전히 활동하고 있다. 10월 한 달동안 파이어아이가 자체 조사한 결과 210개가 넘는 기업 안에서 이들 앱이 실행중이며 외부 서버로 접속 시도도 2만 8천번 이상 계속됐다. 이 중 가장 많은 접속 시도가 일어난 국가는 독일로 무려 62%를 차지했다. 2위는 미국이 33%, 프랑스가 3%였고 네덜란드는 2%, 일본은 0.09%를 차지했다.
엑스코드고스트가 여전히 살아있는 이유는 간단하다. 엑스코드고스트가 숨은 이전 버전 앱을 그대로 쓰는 사람들이 많기 때문이다. iOS 8등 iOS 이전 버전을 쓸 경우에도 여전히 문제가 있는데 엑스코드고스트가 외부 서버와 통신이 가능하기 때문이다. 파이어아이는 아이폰 이용자들이 iOS 9로 가능한한 빨리 업데이트하고 앱 업데이트도 빠른 시일 안에 적용하도록 당부했다.
변종 ‘엑스코드고스트 S’ 등장
파이어아이는 iOS 9에서도 작동할 수 있는 변종인 엑스코드고스트 S가 발견된 사실도 함께 공개했다. 엑스코드고스트 S는 iOS 9 개발용으로 배포된 엑스코드 7에 숨어있었고 암호화 없는 접속을 막은 애플 조치를 피해간다. 접속할 외부 서버 주소도 한 글자씩 끊어서 저장해 감시를 피했다.
파이어아이는 대만 관광정보를 제공하는 중국산 앱인 ‘지유방‘(自游邦)이 엑스코드고스트 S에 감염된 것을 확인한 다음 애플에 통보했다. 이 앱은 앱스토어에서 내려 간 다음 엑스코드고스트 S를 제하고 11월 8일 최신 버전인 3.0으로 업데이트된 상태다.
