와이어러커(WireLurker)는 보안서비스 기업인 팔로알토네트웍스(Palo Alto Networks)가 지난 11월 5일(현지시간) 발표한 보고서를 통해 공개된 악성코드. 눈길을 끄는 건 애플 OSⅩ을 탑재한 맥이나 아이폰이나 아이패드 등 iOS 단말기를 감염시킨다는 것이다.
와이어러커는 맥 감염을 통해 연결한 iOS 단말기를 모니터링, 무단으로 iOS 단말기에 악성코드를 보낸다. 지금까지 iOS 단말에서 발견된 악성코드는 탈옥한 기기에 한정됐지만 와이어러커는 탈옥하지 않은 iOS 단말도 감염시킬 수 있다.
와이어러커는 트로이목마의 일종으로 맥을 통해 감염된 iOS 앱 바이너리 파일을 다시 작성, 악성 앱을 자동 생성할 수 있도록 한 것이다. 또 기업 내 앱 침투가 가능하도록 탈옥하지 않은 iOS 단말에 악성코드를 설치할 수 있다.
와이어러커는 중국 내 맥용 앱스토어인 마이야디 앱스토어(Maiyadi App Store)에 올라온 앱 467종에서 발견됐으며 지난 6개월 동안 와이어러커 감염 앱은 모두 35만 회 이상 다운로드됐다. 수십만에 이르는 사용자의 맥이 감염됐을 가능성이 있다는 얘기다.
와이어러커는 OSⅩ 맥에 USB 케이블로 연결되는 iOS 단말을 모래 감시하고 탈옥 유무를 불문하고 iOS 단말을 감염시킨다. 명칭 그대로 와이어(USB 케이블)+러커(매복자)인 것이다.
팔로알토네트웍스 측에 따르면 와이어러커는 감염된 iOS 단말 정보를 외부로 전송하거나 장기적으로 컨트롤 서버로부터 업데이트 받는 기능도 갖추고 있다. 또 리버스 엔지니어링에 의한 분석을 어렵게 하기 위해 코드를 복잡하게 구성하고 암호화하는 것도 잊지 않았다. 팔로알토네트웍스 측은 오픈소스 소프트웨어 커뮤니티인 기트허브(GitHub)에 와이어러커를 감지하는 도구를 공개한 상태다.
팔로알토네트웍스 측은 와이어러커에 대비하려면 바이러스 백신 등을 최신 상태로 유지하는 등 보안에 만전을 기하는 한편 앱스토어에서 인증 받은 앱만 내려 받고 신원 불명 개발자가 만든 앱이나 게임은 다운로드하지 말라고 조언한다. 또 iOS 단말은 최신 버전을 항상 유지하고 신뢰할 수 없는 맥 기기에 iOS 단말을 페어링하지 말 것. 탈옥하지 않는 건 물론 기업의 경우 보안 시스템 도입이 필요하다는 설명이다.
이상우기자 techholic@etnews.com
