• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

맥 환경에 서비스형 멀웨어 등장 : 맥스파이와 맥랜섬 2017.06.13

무료 버전만으로도 충분한 스파잉 기능 제공...유료 버전은 더 강력
랜섬웨어 자체로는 발전된 형태 아냐...하지만 그래서 변종 쉽게 늘듯

[보안뉴스 문가용 기자] 맥 OS를 향한 악성 행위자들의 공격이 거세지고 있다. 최근엔 맥스파이(MacSpy)와 맥랜섬(MacRansom)이란 서비스형 멀웨어(MaaS)가 등장하기도 했다. 서비스형 멀웨어는 사용자가 많은 윈도우 환경에서만 주로 나타나는 것이었다. “이번에 등장한 MaaS는 맥 OS만을 위한 것으로, 사실상 굉장히 독특한 경우입니다.” 보안 업체인 에얼리언볼트(AlienVault)의 보안 전문가인 피터 이완(Peter Ewane)의 설명이다.

[이미지 = iclickart]


에얼리언볼트에서 맥스파이를 제일 처음 발견한 건 2017년 5월의 일이다. 서비스형 멀웨어들은 범죄자들을 대상으로 광고를 반드시 해야 하는데, 에얼리언볼트 측도 이 광고를 본 것이다. 이 멀웨어의 기능은 주로 사용자의 브라우저 히스토리, 스크린샷, 클립보드 데이터 등의 민감한 정보를 수집하는 것이었다.

사이버 범죄자들이 스파잉 행위를 통해 정보를 모으는 방법에는 1) 클립보드 데이터 스크래핑, 2) 키로깅, 3) 목소리 녹음, 4) 브라우저 데이터 스크래핑 등이 있다고 이완은 설명한다. “보통 피해자들이 멀웨어를 설치하도록 속이거나 물리적으로 접근해 기기에 멀웨어들을 설치하죠.”

피해의 정도는 ‘어떤 정보가 공격자의 손에 넘어갔느냐’로 결정된다. 이완은 “예를 들어 이메일 계정의 사용자 이름과 비밀번호를 가져갔다고 하면 큰 피해가 아닐 수 있지만 회사 주요 데이터 접속에 필요한 크리덴셜을 가지고 있다면 작은 사건이 아니”라고 설명을 추가했다.

위의 기능들을 수행하는 건 맥스파이의 무료 버전이다. 유료 버전에는 어떤 기능들이 추가됐을까? “광고에 따르면 맥 시스템에 저장된 모든 파일과 데이터를 탈취하는 게 가능하다고 합니다. 또한 사용자의 디렉토리를 순식간에 암호화시킬 수 있으며 정상적인 파일 형식을 갖추고 있어 언뜻 봐서는 멀웨어임을 알아볼 수 없다고 합니다.”

아직 맥스파이는 널리 확산되지 않은 상태다. 또한 ‘베타’ 모드에 있는 것 같다고 한다. 또한 아직 어떤 취약점을 익스플로잇하는 지도 밝혀지지 않은 상태다. “다만 맥 사용자가 감염 여부를 확인하려면 /Library/LaunchAgents/com.apple.webkit.plis를 점검해야 합니다. 그러한 파일이 있다면 감염된 겁니다.”

맥랜섬 역시 맥 기기들을 겨냥한 서비스형 멀웨어다. 이는 또 다른 보안 전문업체인 포티넷(Fortinet)에서 발견했다. 맥스파이와 비슷한 점이 상당히 존재하고 있으며, 포티넷은 아마 같은 세력이 두 가지 멀웨어를 개발했을 것이라고 보고 있다.

맥랜섬을 이용하고 싶으면 제작자들에게 연락해 공격 시발 시점을 알려주면 된다. 해당 시간에 맥랜섬은 파일들을 잠그기 시작한다. 최대 128개 파일까지 암호화시킨다. 그런 후 맥랜섬은 com.apple.finder.plist와 원 실행파일을 암호화해서 모든 과정을 마무리한다. Time Date Stamp를 변경하기 때문에 복구 툴을 사용한다고 해도 소용이 없다. 맥랜섬이 요구하는 금액은 0.25 비트코인으로 현재는 약 65만 7천원 정도에 해당한다.

“맥랜섬의 암호화 기능이 대단한 건 아닙니다. 윈도우에는 이보다 더 발전된 랜섬웨어가 수도 없이 존재하죠. 하지만 파일 암호화에 오류를 일으키거나 중요 파일에 분명히 접근을 합니다. 즉 실제적인 피해를 끼친다는 것이죠.” 포티넷의 로멜 조벤(Rommel Joven)과 웨인 친 익 로우(Wayne Chin Yick Low)의 설명이다. “더 무서운 건 ‘기능이 대단하지 않기 때문에’ 변종이 나오기가 쉽다는 겁니다.”

맥스파이의 제작자들이 누구일까? 아직 정체는 밝혀지지 않았다. 하지만 이들은 “최근 애플 제품의 인기가 꾸준히 높은 수준을 유지하기 때문에 공격을 계획할 만하다”고 광고하고 있다. 에얼리언볼트는 이에 대해 “시장 분석”이라고 설명하며 “맥 환경의 사용자들에게 이런 멀웨어 공격 경험이 부족하다는 것도 중요한 변수로 작용할 것”이라고 말한다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>