유명 랜섬웨어 그룹 록빗이 애플을 정조준했다. 보다 정확히는 맥OS다. 공격자들의 무관심 속에 안전함을 지켜온 애플 생태계가 긴장해야 할 상황이다. 당장 큰일이 벌어진 건 아니지만, 앞으로가 크게 우려된다.

[보안뉴스 문가용 기자] 악명 높은 랜섬웨어 단체 록빗(LockBit)이 맥OS 장비들을 겨냥한 랜섬웨어를 개발했다. 록빗 정도 되는 대형 랜섬웨어 단체가 맥OS용 랜섬웨어를 만든 건 처음 있는 일이다. 록빗은 현 시점 세계에서 가장 유명하고 가장 영향력 높은 RaaS 집단으로, 수많은 사이버 범죄자들이 록빗과 파트너십을 맺고 싶어 하고, 록빗도 그런 분위기를 잘 이해한 채 홍보 활동을 벌인다. 영리한 집단이라는 인상을 주는 범죄 단체다.


이런 록빗이 맥OS 환경에 관심을 보이고 있다는 사실을 제일 먼저 파악해 세상에 알린 건 멀웨어헌터팀(MalwareHunterTeam)이다. 이들은 트윗을 통해 “록빗 랜섬웨어 샘플 중 맥OS를 위한 것이 있었다”고 밝히며 “록빗의 랜섬웨어 샘플 중 맥OS를 노리기 위해 만들어진 건 한 번도 본 적이 없다”고 밝혔다. “유명한 범죄 단체 중 진지하게 맥OS 랜섬웨어를 연구하거나 제작한 곳은 없지 않나?”라는 말을 추가하기도 했다.

멀웨어헌터팀의 트윗이 나오고 얼마 지나지 않아 멀웨어 분석 사이트인 vx언더그라운드(vx-underground)도 자신들의 말을 보탰다. “소식을 한 발 늦게 밝히게 됐다”며 “이번에 언급된 맥OS용 변종 랜섬웨어는 이미 2022년 11월 11일부터 공개됐었다”는 내용이었다.

맥 생태계를 전문으로 노리는 랜섬웨어가 나타났다는 건 꽤나 경계해야 할 소식이다. “바이너리를 분석했을 때 당장 맥용 랜섬웨어의 전성기가 올 것 같아 보이지는 않았습니다. 갈 길이 조금 더 남았다는 뜻이죠. 맥킨토시 컴퓨터 사용자들이 걱정해야 할 것은 현재 시점에는 아무 것도 없습니다." 보안 업체 오브젝티브시파운데이션(Objective-See Foundation)의 창립자 패트릭 워들(Patrick Wardle)의 설명이다.

“다만 이 사건이 갖는 상징성은 결코 간과할 수 없습니다. 특히 ‘앞으로 다가올 일들’에 대한 미리보기 정도로 봐도 무방하지 않을까 하는 생각을 하고 있습니다. 즉, 적잖은 유명세와 영향력을 가진 사이버 범죄 단체가 앞장서서 매킨토시 시스템들을 공략하는 일이 더 빈번하게 벌어질 것이라는 뜻이죠. 맥OS에 대한 공격자들의 관심이 여태껏 전무했다시피 했다는 게 맥OS 보안의 가장 큰 장점이었는데, 그것이 흔들리게 되었습니다.”

아직 맥의 벽을 넘지 못했다
이번에 발견되나 맥용 록빗 랜섬웨어는 사실 윈도 기반 멀웨어가 맥OS 립스틱만 바른 것이라고 볼 수 있다고 워들은 설명한다. “코드를 언패킹 하니 윈도 흔적을 여러 개 발견할 수 있었습니다. autorun.inf, ntuser.dat.log 등 말이죠. apple_config라는 변수가 없었다면 평범한 윈도용 멀웨어로 인식할 뻔했습니다. 나머지 코드들은 리눅스 코드와 매우 유사했습니다만 맥OS용으로 컴파일링 된 것처럼 보였습니다.”

즉 맥OS용 랜섬웨어로서 아직 완성되지 않은 듯한 모습을 하고 있다는 뜻이다. 미완성의 흔적은 여기 저기서 발견된다고 워들은 말한다. “코드는 훔친 애플 개발자 ID로 서명되어 있었는데요, 이건 이 멀웨어가 완성품이라고 하더라도 실제 맥OS 시스템에서 실행되지 않는다는 뜻입니다. 애플 생태계에서 애플 개발자 ID가 도용될 경우 ad-hoc이라는 대체 ID가 사용되는데, 이 멀웨어가 바로 이 ad-hoc으로 서명되어 있었습니다.”

맥에도 이제 랜섬웨어가 등장한다
여태까지 유명 랜섬웨어 그룹은 왜 맥용 랜섬웨어를 개발하지 않았을까? “랜섬웨어 그룹들이 즐겨 노리는 대상들이 누구인지 살펴보면 답이 금방 나옵니다. 바로 대기업, 병원, 각종 생산 시설 등이죠. 이런 곳들은 윈도를 기반으로 운영되는 것이 보통입니다. 맥OS 컴퓨터만 가지고 사업하는 회사가 얼마나 될까요? 전 개인적으로 본 적이 없습니다. 공격할 곳이 윈도 생태계에 더 많으니 윈도만 주구장창 괴롭혔던 것이죠.”

기업들 내 이런 상황은 조금씩 바뀌는 중이다. 애플의 장비들이 사업적으로 보다 보편적으로 활용되기 시작했기 때문이다. 특히 업무용 태블릿이 필요한 경우 거의 대다수 조직들이 아이패드를 선택하는 것으로 2021년 조사되기도 했다. 임직원들이 사용하는 모바일 장비들 중 절반이 아이폰이기도 했다. 그러니 이런 모바일 장비들과 연계되는 맥OS 기반 컴퓨터들도 늘어나고 있고, 현재 기업 내 사용되는 컴퓨터 중 23%가 맥OS라는 조사 결과도 존재한다.

게다가 재택 근무가 활성화되면서 맥OS 컴퓨터로 업무를 진행하는 비율이 급격하게 늘어나기도 했다. “기업 환경이 아니라 일반 가정 환경에서는 맥OS 기반 컴퓨터들이 꽤나 많은 편에 속합니다. 젊은 세대일수록 애플 장비를 훨씬 능숙하게 다루기도 하고요. 앞으로 맥OS를 차용하는 기업들은 계속해서 늘어날 것입니다.”

그렇기 때문에 워들은 “맥OS를 겨냥한 사이버 공격자들의 움직임이 활발해질 것인가 말 것인가가 아니라, 언제부터 활발해질 것인가가 진짜 문제”라고 짚는다. 다행히 애플은 이 질문을 진작부터 스스로에게 물어왔던 것으로 보인다. “이미 애플은 방어 체제를 가지고 있습니다. 시스템 파일들이 읽기 전용으로만 설정되어 있다는 것이 그 중 하나입니다. 공격자가 루트 권한을 가져가도 시스템 파일을 바꿀 수 없습니다. 그 외에도 몇 가지가 더 있는데, 이는 애플이 랜섬웨어 공격이 출현할 것을 예상했다는 뜻이 됩니다.”

워들은 “애플은 보안에 있어서 꽤나 잘 하는 기업에 속한다”며 “공격자들이 애플을 쉽게 공략하지는 못할 것”이라고 내다본다. 다만 “애플이 자랑하는 방어 체제가 제대로 된 공격에 맞서본 적이 없다”는 점을 지적했다. “아직은 이론적으로만 강력한 것인지, 실제 상황에서도 빛을 발할지 아무도 모릅니다. 공격자들 중에는 이를 실험해보고 싶은 자들이 충분히 있을 것이고요. 애플도 그렇고, 애플 사용자도 그렇고 조금 더 긴장해야 하는 건 맞습니다.”

3줄 요약
1. 애플 맥OS를 겨냥한 정식 멀웨어 최초로 등장.
2. 유명 랜섬웨어 조직 록빗이 개발 중에 있는 것으로 보임.
3. 이번 랜섬웨어의 실질적인 위험성은 아직 불확실하지만 존재 자체로 시사하는 바가 큼.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>