동아에 맥 보안과 관련된 기사가 실렸네요.



 - 맥북이 악성코드 청정지대? NoNo 악성코드 사각지대 (http://it.donga.com/15741)


맥 보안에 대한 소중한(!) 기사입니다.

다만 사실 관계에서 잘못된 부분이 있습니다.


먼저 기사를 보면 다음과 같습니다.


 '결국 2012년 초, 'Flashfake(플래시페이크)'라는 악성코드가 등장함에 따라 OS X이 안전하다는 믿음은 산산조각 났다. Flashfake는 먼저 특정 홈페이지의 어도비 플래시를 감염시킨 후, 여기에 접속한 OS X 사용자의 맥에 전염되는 트로이 바이러스(Trojan, 트로이 목마)다. 트로이 바이러스란 사용자 컴퓨터에 잠입해 특정 정보를 빼돌리는 악성코드를 말한다.



Flashfake는 막대한 후폭풍을 몰고 왔다. 미국에서만 약 30만 대, 전세계적으로 70만 대에 이르는 맥이 Flashfake에 감염된 것으로 드러났다. 가뜩이나 불편했던 애플과 어도비의 관계는 Flashfake 사태로 인해 파국을 맞고 만다. 애플은 어도비 플래시가 최신 버전이 아니면 사파리에서 실행되지 않도록 하는 패치파일을 배포하고, iOS에 이어 OS X에서도 어도비 플래시를 퇴출할 것이라고 공공연하게 시사했다.'




Flashback(Flashfake)의 초기 버전은 Flash 프로그램으로 가장하고 있습니다. 그래서 Kaspersky에서는 가짜 Flash라는 의미에서 Flashfake로 이름 지은걸로 보입니다. 하지만, 2012년 4월 발생한 Flashback 대량 감염 사건은 어도비 플래시가 아니라 자바(Java) 취약점(CVE-2012-0507)을 이용했습니다.


당시 F-Secure 블로그입니다. (https://www.f-secure.com/weblog/archives/00002341.html)



OS X 사용자를 위한 보안 팁 중 4,5번에 대해 추가 설명이 필요합니다.




4. 바이러스 백신 앱을 설치해야 한다. 불행하게도 다양한 무료 바이러스 백신 앱을 갖춘 윈도와 달리 OS X용 바이러스 백신 앱은 유료인 경우가 대다수다. 그래도 악성코드에 감염돼 고생하는 것보다는 낫다. 카스퍼스키, 시만텍 등 대부분의 해외 바이러스 백신 기업이 맥용 바이러스 백신 앱을 판매 중이다. 



5. 종종 맥을 초기화 한다. OS X은 초기화하지 않고 오래 사용해도 느려지는 현상이 드물어 처음 구매한 상태 그대로 1~2년 이상 사용하는 경우가 잦다. 악성코드가 잠입해 개인정보를 빼돌려도 모른채 계속 사용할 수도 있다는 뜻이다. 3~6개월 주기로 초기화해 악성코드를 제거하는 것이 좋다. 맥을 초기화하는 방법은 맥북 100% 활용하기 - OS X 다시 설치하기 기사 참고.


 


맥에도 무료 백신 프로그램이 존재합니다.

그리고, 초기화(OS X 재설치)도 있지만 맥의 Time Machine을 이용해 원하는 시점으로 복원하는 방법도 추천합니다











Posted by mstoned7

댓글을 달아 주세요

2013년 2월 Apple, Facebook, Twitter, Microsoft (Mac 개발 부서) 등의 악성코드 감염이 보도되었습니다.



 
Apple, Facebook, Twitter hacks said to hail from Eastern Europe 
- http://news.cnet.com/8301-1009_3-57570194-83/apple-facebook-twitter-hacks-said-to-hail-from-eastern-europe/

- Exclusive: Apple, Macs hit by hackers who targeted Facebook
http://www.reuters.com/article/2013/02/19/us-apple-hackers-idUSBRE91I10920130219


처음에는 연관없는 별도 사건으로 보였지만 어느 정도 확인된 바로는 모두 맥 시스템이 감염된겁니다.


당시 자바(Java) 제로데이 취약점을 통해 악성코드가 배포되었고 이들 시스템이 감염된걸로 보입니다.

어쩌면 4개 업체 모두 동일한 악성코드에 감염되었을 수 있습니다.


여기에 몇가지 의문이 있습니다.


첫째, 모두 동일 악성코드인가 ?

둘째, 왜 공격자는 개발자 사이트에 악성코드를 심었는가 ? 또 개발자 관련 사이트에만 악성코드를 심었는가 ?

셋째, GateKeeper를 어떻게 우회했는가 ? (요즘 기사에도 나오던데... 저도 GateKeeper 부분은 문제를 확인했고 정확한 테스트 후에 공개하겠습니다.)


이제 일종의 퍼즐 게임이 되었습니다.


최초에 문제를 제기했던 Intego의 글을 참조해 보죠.


http://www.intego.com/mac-security-blog/more-details-surface-about-recent-apple-hack/





결국 공격을 받은 업체들이 정보를 공유해야지만 정확한 사건의 진상이 밝혀 질걸로 보입니다.


여기서 한가지 흥미로운 점을 발견했습니다.


해킹되어 악성코드가 심어진 웹사이트로 알려진 곳의 방문자 현황입니다.




F-Secure의 정보를 보면 국내에서도 3.4 % 로 꽤 많이 방문했습니다.


http://www.f-secure.com/weblog/archives/00002506.html




결국 트위터, 페이스북, 애플, 마이크로소프트웨어 만의 문제는 아닌 걸로 보입니다.

(처음에는 표적공격으로 생각했는데 해당 업체만 노린건 아닌걸로 보입니다.)


정말 모바일 개발자들을 노린 걸까요 ?

그렇다면 과연 공격자는 무엇을 얻으려고 했을까요 ?

또 국내 모바일 프로그램 개발 환경 중 맥이 제법 많은 걸로 알고 있는데 과연 얼마나 감염되었을까요 ?


여전히 몇가지 의문점이 있지만 조금씩 퍼즐이 맞춰야겠죠.







Posted by mstoned7

댓글을 달아 주세요


맥 사용자가 증가하면서 악성코드도 증가하고 있습니다

물론 윈도우나 안드로이드에 비해서는 아직 덜 위험합니다.


평소 맥 악성코드가 얼마나 발견되고 있을까 궁금했는데 핀란드 F-Secure 2012년 위협 동향에 맥 악성코드에 대한 언급이 있습니다.




- Threat Report H2 2012

http://www.f-secure.com/static/doc/labs_global/Research/Threat_Report_H2_2012.pdf



2011년 59개에서 2012년 121개의 새로운 악성코드가 발견되었다고 합니다.

전년 대비 2배 정도 증가한 수입니다.

(참고로 F-Secure 기준의 집계입니다.)




맥 악성코드 종류도 흥미롭습니다.


몇년 전만해도 가짜 백신 프로그램(허위 보안 프로그램)이 많이 발견되었는데 2012년에 발견된 맥 악성코드 중 85%가 백도어(Backdoor)입니다.


맥 악성코드 제작 목적이 단순한 금전 목적보다 자료 유출로 변화하고 있음을 알 수 있습니다.


이는 기업이나 개인의 맥 사용자가 증가했기 때문으로 예상됩니다.


특히 기업에서 맥 사용자가 증가했습니다. 국내 기업(공공기관은 아직 드물겠죠.)에서 맥 사용자가 많아졌죠. 안랩내에도 맥 사용자가 많습니다. 어떤 기업은 절반 이상 혹은 100% 맥을 사용하는 경우도 있습니다.


기업에서도 이제 맥에 대한 보안정책을 세워야 하지 않을까 합니다.


공격자는 이미 기업의 정보를 빼내기 위해 맥 시스템에 대한 공격을 준비하고 있을지 모릅니다.



Posted by mstoned7

댓글을 달아 주세요

  1. JQ 2013.02.08 09:04 신고  댓글주소  수정/삭제  댓글쓰기

    생각보다 많이 있네요... 참고하겠습니다.^^

 

맥 악성코드에 대한 내용입니다.

7월 4일(수) 안랩에서 연구원들 대상으로 발표를 했고 자료를 공개합니다.

1부는 일반인이 보기에 부담없이(?) 기술적인 내용은 가급적 배제했고 2부에서 기술적인 내용을 담을 예정입니다.

결론은 맥에 대한 악성코드 제작자들의 시도는 꾸준히 있었으며 2012년 4월 큰 감염 보고가 있었으며 앞으로도 증가할 것으로 예상된다 입니다.

한편 다행인건 애플이 이제 보안에 대해 적극적으로 대처하고 사용자들도 백신 프로그램에 대한 필요성을 조금씩 느끼고 있다는 점입니다.

 

 

iThreat-1부_20120703.pdf

 

Posted by mstoned7

댓글을 달아 주세요