맥 환경을 노리는 사이버 공격자들은 현재까지 애드웨어에 집중하는 모습이다. 맥 사용자들에게 많은 광고를 노출시키고, 많은 앱이 설치되도록 하면 돈을 버는 것이 현재 맥 생태계 공격자들의 주요 생존 방식이다. 언제까지고 그 상태로 남아있을지는 모르겠지만.

[보안뉴스 문가용 기자] 맥용 트로이목마인 업데이트에이전트(UpdateAgent)의 최신 버전이 발견됐다. 애플의 제품들을 노리는 공격자들의 노력이 계속해서 이뤄지고 있음이 다시 한 번 입증됐다. 업데이트에이전트는 위자드업데이트(WizardUpdate)라고 불리기도 한다.


업데이트에이전트는 고객 지원 에이전트나 비디오 관련 소프트웨어 등 정상 소프트웨어인 척 유포되는 멀웨어다. 2020년 9월 처음 발견됐다. 주로 광고 팝업 창이나 ‘드라이브 바이 다운로드(drive-by download)’ 파일, 가짜 업데이트의 형태를 취하고 있으며, 처음 발견된 때부터 지금까지 계속해서 새로운 기능이 추가되고 있다. 이번에 발견된 최신 버전도 이런 흐름 안에서 등장한 것이다.

마이크로소프트의 보안 전문가들에 의하면 업데이트에이전트의 최신 버전에는 두 번째 페이로드를 가져다가 설치하는 기능이 추가됐다고 한다. 두 번째 페이로드는 AWS나 클라우드프론트(CloudFront)와 같은 공공 클라우드에 호스팅 되어 있다. 원래 이런 종류의 페이로드는 집(zip) 파일이나 dmg 파일 중 하나로 호스팅 되어 있는데, 이번에는 두 가지 다 발견되고 있다.

또한 두 번째 페이로드는 트로이목마인 애드로드(Adload)를 내포하고 있기도 하다. 애드로드는 피해자의 시스템에 각종 앱들을 설치하고 광고를 지속적으로 띄우는 기능을 가지고 있다. 애드로드는 애플 장비에 기본적으로 탑재되는 보안 장치보다 항상 한 발 앞서는 것으로 유명하기도 하다.

마이크로소프트의 분석에 따르면 업데이트에이전트 최신 버전은 공격자가 사용자의 기존 프로필을 활용해 높은 권한을 필요로 하는 명령을 실행할 수 있도록 해 준다고 한다. 또한 여러 탐지 및 보안 장치들을 회피하여 피해자의 시스템에 지속적으로 머무르는 기능까지 강화되었다고 밝혀졌다.

이번 버전은 업데이트에이전트의 다섯 번째 변종이다. 최초 버전은 지금에 비해 매우 간단했으며 장비에 대한 간단한 정보를 수집해 공격자의 서버에 전송하는 것이 다였다. 하지만 버전이 올라감에 따라 개발자가 공격 지속성 확보 기능, 악성 페이로드 가져오기 기능, 보안 장치 회피 기능 등을 첨가했다. 특히 맥OS의 기본 보안 장치인 게이트키퍼(Gatekeeper)를 우회하는 기능이 추가된 때부터 업데이트에이전트는 무시무시해졌다고 한다.

“처음에는 매우 원초적인 정보 탈취 멀웨어였습니다. 그것이 지금에 와서는 여러 업그레이드를 거쳐 애드웨어와 각종 멀웨어를 유포하는 위험한 로더로 변모했습니다.” 보안 업체 필 스톡스(Phil Stokes)의 설명이다. “배후의 개발자는 이러한 변화의 과정 속에서 애플의 보안 시스템을 어떤 식으로 회피할 수 있는지를 빠르게 간파한 것으로 보입니다. 그리고 클라우드 서비스를 공격용 서버로 활용하는 방법도 익혔고요.”

또 다른 재미있는 사실은 업데이트에이전트 개발자들이 어떤 이유에서인지 매우 간단한 암호화 알고리즘인 비게네르(Vigener)를 사용했다는 것이다. 비게네르는 보통 암호학을 처음 배우는 학생들을 위한 수업 시간에나 사용되는 암호화 장치(사이퍼)가 비게네르라고 설명한다. 이 부분에서 개발자가 손을 쓰지 않는 이유는 아직 알 수 없다.

스톡스는 업데이트에이전트에 대해 “비교적 새롭게 등장한 멀웨어”라며 “맥 환경에 등장하고 있는 애드웨어 및 번들웨어들이 꾸준히 증가하는 중”이라고 설명한다. 보안 업체 잼프(Jamf)가 작년에 발표한 바에 따르면 “맥 환경에 존재하는 멀웨어들 중 애드웨어가 가장 많다”고 한다. 맥 환경의 사용자들을 가장 많이 괴롭히는 10가지 멀웨어가 전부 애드웨어와 관련이 있는 것으로 나타나기도 했다.

업데이트에이전트의 개발자들은 광고를 노출시키거나 특정 앱이 설치될 때마다 대가를 받는 방식으로 수입을 올리는 것으로 보인다고 한다. 이건 맥 환경의 수많은 애드웨어들이 가지고 있는 방식이기도 하다. 하지만 계속된 업그레이드와 강력해지는 공격 지속성 기능 등을 봤을 때 시장 내 고객들의 관심을 끌 수 있을 것으로 보인다고 스톡스는 말한다. “이 정도 열심을 가진 개발자가 뒤를 받쳐주고 있으니 업데이트에이전트는 꽤나 오랜 시간 맥 사용자들을 괴롭힐 것으로 보입니다.”

보안 업체 콘피언트(Confiant)의 CTO인 제롬 단구(Jerome Dangu)는 “업데이트에이전트와 같은 애드웨어들은 주로 대규모 멀버타이징 공격을 통해 확산되는 것이 보통”이라고 설명한다. “맥 시스템을 통해 웹사이트를 방문하는 사람들에게 악성 광고를 노출시켜 애드웨어를 심는 것이죠. 하지만 지금은 애드웨어인 것이 나중에 다른 멀웨어로 대체될 가능성도 분명히 존재합니다. 언젠가 맥 사용자들 사이에서 랜섬웨어가 크게 유행할 지도 모릅니다.”

3줄 요약
1. 맥용 멀웨어 중 하나인 업데이트에이전트의 최신 버전이 등장.
2. 맥 환경의 멀웨어는 대부분이 애드웨어로, 업데이트에이전트도 마찬가지.
3. 지금은 애드웨어가 대부분이지만 그 자리에 랜섬웨어가 들어설 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>