• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

2달 사이 멀웨어 6개! 맥 환경이 심상치 않다 2017.03.02

엑스에이전트, 러시아 해킹 단체가 사용했다?
프로톤, 샘플 하나 발견되지 않은 정체불명 멀웨어

[보안뉴스 문가용 기자] 지난 2월 14일, 맥 사용자들은 밸런타인데이를 기념하여 새로운 멀웨어 선물을 잔뜩 받았다. 그런데 그 후로도 맥 시스템을 노린 각종 멀웨어들이 새롭게 등장하기 시작했다. 그러더니 지난 주에는 맥 환경에서 활동하는 사상 두 번째 랜섬웨어가 등장하기도 했다. 맥 환경에서의 해커들의 활동이 심상치가 않다는 신호가 자꾸만 울려대는 요즘이다. 최근에 발견된 맥용 멀웨어를 되짚어 본다.


올해 처음 발견된 맥용 멀웨어는 엑스에이전트(XAgent)다. 팔로알토 네트웍스(Palo Alto Networks)가 발견했고, 분석한 결과 작년에 발견된 멀웨어인 콤플렉스(Komplex)와 관련이 있는 것으로 분석됐다. 콤플렉스 역시 팔로알토가 발견한 멀웨어로, 당시에는 러시아의 소파시 그룹(Sofacy Group) 혹은 팬시 베어(Fancy Bear), APT28로 알려진 해킹 단체의 소행인 것으로 판단됐다. 이 단체는 미국 민주당 해킹 사건의 범인인 것으로 알려져 있다.

엑스에이전트는 각종 원격 접근 기능을 가지고 있는 백도어로, 키로깅, 스크린샷 캡처, 원격 쉘 접근, 파일 유출 등을 실행할 수 있다. 특히 iOS 백업에 있는 정보를 해커들에게 전달해주는 기능이 여러 보안 분석가들의 흥미를 끌었다. 아이폰을 포함한 애플의 여러 기기들은 해킹하기가 무척 까다로운 것으로 유명한데, 백업 시스템으로 눈길을 돌림으로써 민감한 정보를 탈취할 수 있도록 머리를 쓴 것이다.

보안 전문업체인 사이낵(Synack)의 수석 연구원인 패트릭 워들(Patrick Wardle) 역시 엑스에이전트를 분석한 바 있다. 그리고 소파시 그룹이 이를 사용했다고 블로그에 밝혔는데, 대신 소파시 그룹이 해킹 팀(Hacking Team)으로부터 원 코드를 구했다는 내용을 추가했다. 해킹 팀은 RCS(Remote Control System, 원격 통제 시스템) 백도어를 만든 업체로, 주로 정부 기관들과 ‘비밀 거래’를 해오는 것으로 논란의 대상이 되고 있다.

또한 해킹 팀은 2015년 스스로도 해킹을 당하면서, 비밀리에 거래해오던 각종 솔루션의 소스코드가 유출되는 사고를 겪은 바 있다. 워들은 “당시 유출된 소스코드와 엑스에이전트의 소스코드 사이에 유사점들이 꽤나 많이 발견됐다”고 그 이유를 댄다. “아마도 소파시 그룹이 유출된 해킹 팀 코드를 사용했을 듯 합니다.”

한편 엑스에이전트에 대해 보안 전문업체인 비트디펜더(Bitdefender)가 발간한 보고서에 따르면 엑스에이전트는 ~/Library/Assistants/.local/라는 폴더에 설치된다고 한다. 이 폴더에 설치됨으로써 하드코딩이 된 이름이 생긴다. 발견 당시 엑스에이전트의 C&C 서버는 폐쇄된 상태였다. 엑스에이전트의 수명이 다 됐다는 뜻이다.

엑스에이전트가 한창 분석될 때, 또 다른 맥용 멀웨어가 나타났다. 다만 아직 샘플이 발견되지 않았고, 징후만 드러난 것. 팔로알토가 엑스에이전트의 분석 보고서를 발표하고 3일 후, 애플이 엑스프로텍트(XProtect)의 업데이트를 배포하기 시작한 것이다. 엑스프로텍트는 맥OS에 탑재되어 있는 안티 멀웨어 솔루션이다. 물론 애플이 이 업데이트를 발표한 가장 표면적인 이유는 엑스에이전트에 대한 탐지력을 높이기 위한 것이었다.

그런데 문제는 해당 업데이트에 OSX.Proton.A라는 정체불명의 뭔가에 대한 시그니처까지도 포함되어 있었다는 점이다. 이를 발견한 보안 커뮤니티는 난생 처음 들어보는 OSX.Proton.A가 무엇인가에 대한 논란에 휩싸였다. 그 중 닌자(Ninja)라는 보안 전문업체의 연구원인 아르노 아바티(Arnaud Abbati)가 이 문제를 깊게 파기 시작했다. 그리고 식스길(Sixgill)이라는 웹사이트에서 프로톤(Proton)이라는 RAT에 대한 상세 정보를 발견했다. 현재 해당 페이지는 없어진 상태지만 아직 구글의 캐시에 최근까지 남아있었다.

현재 이 프로톤 멀웨어는 러시아의 사이버 범죄 포럼에서 거래가 된 것으로 보인다. 현재까지 남아있는 프로톤 관련 정보는 유튜브 영상 두 개가 거의 전부다. 하나는 여기서, 다른 하나는 여기서 열람이 가능하다. 그러나 발견된 샘플도 없고, 바이러스토탈(VirusTotal)에도 등록된 바가 없다. 완전히 베일에 싸인 멀웨어인 것이다.

그 밖에 올해에 등장한 맥용 멀웨어로는 퀴밋친(Quimitchin), 프루트플라이(Fruitfly)와 맥다운로더(MacDownloader), 파인드집(Findzip)이라는 랜섬웨어가 있다. 2달 만에 맥용 멀웨어가 총 6개 발견된 것이다. 전문가들은 이 속도로 공격이 계속된다면 2017년이 맥용 멀웨어가 최고로 성장할 한 해가 될 것이라고 말한다. 현재까지 맥용 멀웨어가 가장 크게 급증한 해는 2012년이었다. 맥 환경이 심상치 않다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>