진짜 웹사이트 흉내 내고 비밀번호 훔치는 수법 사용
일반 백신으로도 처리 가능...하지만 비밀번호들도 알아서 바꿔야

[보안뉴스 문가용 기자] 시만텍의 블로그를 가장한 웹사이트에서 OSX.Proton이라는 비밀번호 탈취 멀웨어가 배포되고 있다는 사실이 발견됐다. 발견자는 익명의 보안 전문가로, 트위터 닉네임이 @noarfromspace라고만 알려져 있다. OSX.Proton은 2017년 3월 처음 등장한 멀웨어다. 당시는 엘미디어 소프트웨어(Ellmedia Software)에서 만든 애플리케이션들이나 핸드브레이크(Handbrake) 애플리케이션을 통해 배포되었다.


@noarfromspace에 의하면 해당 블로그는 첫 눈에 보기에는 정상적인 시만텍 블로그로 보인다고 한다. 이름과 주소가 실제 시만텍 블로그일 것 같이 보이기 때문. 그러나 해당 도메인을 등록하기 위해 사용한 이메일이 수상했다. 시만텍의 인증기관이 아니라 코모도(Comodo)에서 발행한 SSL 인증서를 사용하고 있었던 것.

또한 시만텍의 진짜 콘텐츠를 가져다가 포스팅하는 등 누군가 정교하게 시만텍을 흉내 냈다고 @noarfromspace는 말한다. “그 중에 코인씨프(CoinThief)라는 악성코드의 새로운 버전에 대한 정보가 담긴 게시글이 있습니다. 코인씨프가 새로운 버전으로 다시 나타났지만, 시만텍 멀웨어 디텍터(Symatec Malware Detector)를 사용하면 된다는 내용입니다. 물론 가짜뉴스죠.” 이 툴을 다운로드 받으면 멀웨어가 퍼진다.

“시만텍 멀웨어 디텍터 역시 존재하지 않는 제품들로 이뤄져 있습니다. 가짜라는 거죠. 이 가짜 툴을 다운로드 받게 해주는 링크는 트위터로도 퍼지고 있습니다.” 시만텍 멀웨어 디텍터는 사실 OSX.Proton 멀웨어다. 사용자의 관리자 비밀번호를 평문으로 훔쳐내는 기능을 가진 멀웨어다. 비밀번호를 훔치면서 다른 민감한 정보들도 같이 탈취한다. 키체인 파일, 브라우저의 자동 채우기 데이터 등이 여기에 속한다.

가짜 시만텍 멀웨어 디텍터를 실행하면 간단한 창이 하나 뜨고 가운데 시만텍 로고가 박힌다. 확인 버튼도 같이 뜬다. 누르면 ID와 비밀번호를 입력하라는 프롬프트가 생성된다. 사용자가 여기에 비밀번호를 입력하면 멀웨어가 설치되기 시작한다.

보유하고 있는 시만텍 멀웨어 디텍터가 정품인지 가짜인지 확인하려면 코드 사인을 살펴야 한다고 전문가들은 설명한다. 서명자의 이름이 Sverre Huseby이고 팀 식별자가 E224M7K47W라면 100% 악성이다. “코드 서명 확인은 출처가 확실하지 않은 모든 애플리케이션을 실행하기 전에 실시해야 할 보안 권장 사항이기도 합니다.”

iOS에서는 Applications/Utilities에 있는 Terminal이란 애플리케이션을 활성화하고 code sign 명령어를 다음과 같이 입력한다
code sign –dv —verbose=4 /애플리케이션 경로
윈도우에서는 MS가 제공하는 Windows SDK를 http://go.microsoft.com/fwlink/p/?linkid=84091에서 다운로드 받아 SignTool을 활용하면 된다.

악성 멀웨어가 발견되었을 경우에는 백신 솔루션들을 사용해 제거가 가능하다. 하지만 이미 비밀번호들이 죄다 도난당했을 가능성이 있으니, 온라인 활동 시 사용하는 비밀번호를 전부 바꾸는 것도 필요한 조치다.

시만텍은 이것에 대해 “symantecblog.com과 symanteceurengine.com은 시만텍이 소유하고 있는 사이트가 아니”라고 확실하게 발표했다. 시만텍은 이번 일이 알려지자마자 곧바로 행동을 취해 해당 사이트들이 삭제되도록 했다. 현재까지는 symantecblog.com만 폐쇄된 상태다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>