목차
sysdiagnose?
스파이웨어 감염여부를 확인하기 위해서는 아이폰(혹은 아이패드 등)에서 생성된 sysdiagnose의 tar.gz 파일을 검사하면 된다. 여기서 문제는, 아이폰의 기본 UI에서 필요한 로그파일을 바로 생성할 수 있는 메뉴가 없다는것 뿐이다.
아이폰에서 sysdiagnose 실행하기
아이폰에는 직접적으로 sysdiagnose를 실행할 수 있는 메뉴나 앱 아이콘은 없지만, 완전히 방법이 없는건 아니다. 바로, 설정에 있는 ‘손쉬운 사용‘ 항목으로 sysdiagnose를 실행할 수 있다.
iOS 17.2.1 기준, 설정 방법은 다음과 같다.
- 아이폰 기본 ‘설정‘ 앱 실행
- ‘손쉬운 사용‘ 선택
- 신체 및 동작 지원 → ‘터치‘ 선택
- ‘AssistiveTouch‘ 선택
- ‘AssistiveTouch‘ 토글 스위치 활성화
- ‘상위 레벨 메뉴 사용자화‘ 선택
- n개의 아이콘 → ‘+‘ 버튼으로 아이콘 추가
- 생성된 ‘+‘ 아이콘 선택
- 기기 → ‘분석‘ 선택
- ‘완료‘ 설정 저장
- 스크린의 터치 도구 → ‘분석‘ 아이콘 선택
위의 순서대로 AssistiveTouch 설정을 마친 후, 화면의 AssistiveTouch 점을 눌러서 나온 팝업에서 ‘분석‘을 눌러 로그를 생성하면 된다. 이렇게 분석을 실행시키면 화면 상단에 “AssistiveTouch 분석을 수집하는 중입니다.”라는 문구가 잠시 표시된 후 사라지고, 그후 얼마간 기다리면 분석이 끝났다는 문구가 화면에 다시 표시된다.
여기까지 했으면 로그 파일 생성은 끝났다.이제 생성된 로그 파일을 진단하려는 컴퓨터로 받아오기만 하면 된다.
로그 파일 찾아서 컴퓨터로 옮기기
위의 방법으로 분석을 정상적으로 실행시켰다면, 아이폰의 파일 시스템에 로그파일이 tar.gz 형식으로 생성된다. 이 파일도 역시 ‘설정‘ 앱을 통해 찾아볼 수 있다. 로그 파일을 찾을 수 있는 경로는 다음과 같다.
- 아이폰 기본 ‘설정‘ 앱
- ‘개인정보 보호 및 보안‘ 메뉴 선택
- ‘분석 및 향상‘ 메뉴 선택
- ‘분석 데이터‘ 메뉴 선택
- 화면 상단 검색창에서 ‘sysdiagnose‘ 입력
- 목록 중 파일 선택 → 공유 기능으로 클라우드나 에어드랍 등 사용
iShutdown 스크립트 사용, 로그파일 진단
로그 파일을 가져왔다면, 진단 방법은 아주 간단하다. 먼저 카스퍼스키랩의 깃허브에 있는 iShutdown 리포지토리를 git clone으로 내려받은 뒤 의존성이 있는 termcolor3 패키지를 설치하고 iShutdown_detect.py 로그파일.tar.gz 형태로 실행하면 된다.
진단 스크립트를 실행하면 로그 파일을 읽어서 스파이웨어에 의해 생성된 로그가 있는지 검사 후 해당 내용을 출력해준다. 중간중간 datetime 모듈 관련 DeprecationWarning 메시지가 출력될 수 있으나, 진단 내용과는 관련 없으므로 무시해도 된다.
진단 결과 감염된 내용이 없다면 아래와 같은 메시지가 표시된다.
참고자료
- Kasperskylab/iShutdown
https://github.com/KasperskyLab/iShutdown
↩︎ - iShutdown scripts can help detect iOS spyware on your iPhone
https://www.bleepingcomputer.com/news/security/ishutdown-scripts-can-help-detect-ios-spyware-on-your-iphone/ ↩︎ - python termcolor package
https://pypi.org/project/termcolor/ ↩︎