Github를 통한 악성코드 배포를 주의하세요.

최근 들어 macOS와 관련된 Github Open Project를 교묘하게 베낀 가짜 사이트를 통해 maleware를 배포하는 사이트들이 늘고 있어 주의가 필요해 보입니다. 

사용자들이 많이 사용하는 사이트를 그대로 모사하여 만들어 피해를 주는 "피싱사이트" 와 유사한 방식입니다. 

레딧에 올라온 PSA(Public Service Announcement:공익광고)글을 보면, macOS app 개발자가 발견하여 github에 제보한 것으로, 사용자들이 Github에 올라온 프로젝트를 무조건 신뢰해서는 안된다는 것을 경고하고 있습니다. 

일단 Github을 단순 검색하여 방문하고 해당 app을 다운로드 받아서 설치 및 사용하는 것은 조심해야 합니다. 평소에 신뢰할 만한 링크를 통해 Github에 방문하는 것이 좋습니다.  대부분의 공개 앱이라면 우선은 각 OS의 패키지 관리자(package manager) 저장소에도 등록이 되어 있는지의 여부를 확인하고 있다면 패키지 관리자를 통해 설치 및 사용하는 것을 추천합니다. 패키지 저장소에 등록되면 해당 앱의 URL정보가 있기 때문에 보다 더 최신 버전을 사용하고자 한다면, 해당 URL로 방문하는 것이 안전합니다.  macOS라면 app store, homebrew를 Linux라면 dnf, pacman, apt 등을 이용하세요. 적어도 공식 패키지 저장소에 등록이 되어 있다면  신뢰성이 높다고 볼 수 있습니다. 

만일 Package Manger로 검색했을 때, 검색되지 않을 경우에는 Raddit 등에서 관련 앱에 대한 정보를 확인하는 것이 필요하고, 잘 알려지지 않은 앱의 경우 가급적 설치를 하지 않는 것이 좋습니다. 그래도 필요하다면 소스코드를 충분히 검토해 보는 것이 좋겠죠.  

검색창에서 앱 이름으로 검색할 경우, 해당 Github 사이트가 Fork 사이트인지의 여부도 확인을 꼭 해야 하며, 특별한 사정이 없다면 업스트림(Upstream) 저장소로 이동하여 다운로드 받는 것이 좋습니다. 

등록된지 꽤 시간이 경과했음에도 불구하고 commit 등의 project 활동이 없다면 이 또한 경계해야 합니다.  물론, 별점이 적거나 활동이 없다고 해서 모두 악의적인 사이트라고 단정지을 수는 없습니다. 하지만, 해당 앱에서 제시하는 기능이나 성능이 누가봐도 월등히 좋고 매력적이라면 당연히 인기도 많고 사람들의 review나 제안등이 높을 수 밖에 없습니다. 

- - - - - 

평소에 별 의심없이 Github을 사용해 왔더라도 최근에 유사한 사례들이 늘고 있다고 하니, 좀 더 경각심을 갖아야 될 것 같습니다.