흔적조차 남기지 않고 맥 컴퓨터를 공격하는 새로운 맬웨어 스텔스 해킹이 소개돼 충격과 관심을 끌고 있다.

지난 19일 미(美) 보안전문 미디어 서치시큐리티닷컴(SearchSecurity.com)은 기업 노트북의 중요 데이터와 온라인 쇼핑과 뱅킹을 이용하는 수많은 가정용 맥 컴퓨터 사용자들이 인터넷 범죄자들이 구미를 당기게 될 것이라고 보도했다.

서치시큐리티닷컴에 따르면 이미 보안 연구자들은 이러한 맥 이용자들에게 관심을 두고 있다며 지난 19일(현지 시간)로 3일간의 일정을 마무리한 블랙햇(Black Hat)의 참가자 빈센초 요초(Vincenzo Iozzo)와의 인터뷰를 공개했다.

이태리 폴리테크노 공과대학(Politecnico di Milano University) 학생인 요초는 블랙햇에서 악성 코드를 맥 OS X 메모리에 삽입하는 방법을 시연했다. 이 공격은 악성 바이너리가 삽입될 수 있는 패치되지 않은 OS X 취약성을 이용하는 것으로, 윈도우와 대부분의 리눅스 버전에 대한 이와 유사한 기술들은 이미 알려져 있다.

그러나 요초의 악성코드 삽입 방법은 코드의 흔적이나 공격이 발생했다는 증거 등을 전혀 남기지 않아 포렌직 연구자들을 긴장시키고 있다.

요초의 기술은 OS X 바이너리를 디스크에 저장하기 위해 이용되는 Mach-O 파일 포맷을 파괴시킨다. 이 바이너리 공격은 악성 코드를 저장하는Mach-O의 페이지 제로(PAGE_ZERO) 영역의 보호 플래그를 변경시킨다.

그는 “OS 커널은 이를 알지 못한다”며 “피해자 컴퓨터에 프로세스를 리스팅할 경우 감염된 바이너리를 확인하지 못 할 것이다. 이것은 우리가 고(高) 레벨 언어로 페이로드를 작성할 수 있다는 것을 의미한다”고 말했다.

요초는 또한 이 공격이 레오파드와 도입된 라이브러리용 ASLR(Address Space Layout Randomization)을 무력화시킬 수 있다고 말했다. ASLR은 엑서큐터블의 메모리 로케이션을 랜덤화함으로써 요초의 기술과 같은 공격을 저지하기 위해 고안된 것이다.

한편, 요초와 공동 연구자인 찰스 밀러(Charles Miller)는 4월로 예정된 블랙햇 유럽(Black Hat Europe)에서 이 기술을 애플 아이폰에 대해 시연할 예정이다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>