Home > 전체기사

수수께끼 투성이 멀웨어 클라우드멘시스, 맥OS 사용자 정교하게 노려

  |  입력 : 2022-07-22 15:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
한 번도 발견된 적이 없는 새 멀웨어가 발견됐다. 클라우드멘시스라고 하며, 일부 맥OS 사용자들을 정교하게 노리는 기능을 가지고 있다. 하지만 공공 클라우드를 대범하게 활용한다는 것 외에는 거의 모든 것이 베일에 가려져 있다.

[보안뉴스 문가용 기자] 현존하는 발표 자료와 보고서에서 한 번도 등장하지 않은 맥OS 스파이웨어의 존재가 드러났다. 문서를 빼돌리고, 피해자의 키스트로크를 확보하고, 스크린도 캡처하는 등의 활동을 애플 장비에서 수행하는 멀웨어라고 한다. 또한 공공 클라우드 스토리지 서비스에 페이로드를 저장하며, 이런 서비스들을 C&C 서버로 활용하기도 한다. 복잡하게 작동하는 멀웨어이기도 하지만, 그렇기에 추적이 잘 되지 않아 여태까지 들키지 않은 것으로 보인다.

[이미지 = utoimage]


이 멀웨어의 이름은 클라우드멘시스(CloudMensis)이며, 보안 업체 이셋(ESET)이 제일 먼저 발견했다. 오브젝티브씨(Objective-C)로 개발됐으며, 일종의 백도어로 분류된다. 이셋이 이번 주 발표한 보고서에 의하면 각종 기법으로 최초 침투에 성공한 공격자들은 기존에 알려진 다른 취약점들을 익스플로잇 해서 권한을 상승시키기도 하고 코드를 실행하기도 했다고 한다. 이셋이 분석한 클라우드멘시스 샘플의 경우 피클라우드(pCloud)라는 공공 클라우드 서비스에 저장되었다가 유포되는 것으로 분석됐다. 드롭박스, 얀덱스 등과 같은 클라우드 서비스도 활용 가능한 것으로 현재까지는 알려져 있다.

클라우드에 저장되어 있다고 2단계에서 맥 컴퓨터에 설치되는 클라우드멘시스의 악성 페이로드를 통해 파일, 이메일 첨부 파일, 메시지, 음성 녹음 기록, 키스트로크가 수집된다. 현재까지 분석한 바에 의하면 클라우드멘시스는 총 39개의 명령을 수행할 수 있으며, 이 중에는 추가 멀웨어 다운로드 명령도 포함되어 있다고 한다. 훔쳐낸 데이터는 전부 공공 키를 통해 암호화가 되며, 이를 복호화 하려면 클라우드멘시스 운영자가 가지고 있는 비밀 키가 반드시 있어야만 한다.

클라우드 내 스파이웨어
클라우드멘시스의 가장 주요한 특징은 맥 환경에서 나타난 몇 안 되는 정식 스파이웨어라는 것과 클라우드 스토리지를 적극 활용한다는 것이다. “클라우드멘시스는 드롭박스나 피클라우드와 같은 클라우드 스토리지를 사용합니다. 클라우드멘시스 내에는 클라우드 계정에 파일을 올리거나 내리는 데 필요한 인증 토큰들이 포함되어 있고요. 운영자가 봇에다가 명령을 보내고 싶으면 명령이 담긴 파일을 클라우드에 업로드하고, 클라우드멘시스는 이 클라우드로부터 파일을 받아 명령을 실행합니다. 그리고 명령 수행 결과를 암호화 해서 클라우드에 업로드하면, 운영자가 이를 다운로드 받아서 확인합니다.”

그렇다는 건 멀웨어 샘플 내에 IP 주소나 도메인 이름이 존재하지 않는다는 뜻이 된다. “도메인 이름과 IP 주소는 일종의 지표가 되는 정보입니다. 이를 통해 공격자를 추적할 수 있게 되는데, 클라우드멘시스는 이 정보가 없어 추적이 매우 어렵죠. 따라서 네트워크 층위에서 막는 게 힘들어집니다.” 물론 이것이 완전히 새로운 전략인 것은 아니다. 인셉션(Inception) 혹은 클라우드아틀라스(Cloud Atlas)와 APT37 혹은 리퍼(Reaper)라고 알려진 해킹 그룹들도 이러한 방식을 차용한 적이 있었다. 다만 맥 멀웨어 생태계에서 이런 전략이 발견된 사례는 처음인 것으로 보인다.

공격 배후 세력이나 피해자도 알 수 없어
아직 이 공격에 대해서 명확히 파악된 것은 거의 없다. 누가 배후에 있는 지도 오리무중이다. “하지만 한 가지, 공격자의 의도가 정찰에 있다는 것은 분명해 보입니다. 즉 기밀이나 지적재산을 훔치는 게 공격자의 최종 목표라는 것이죠. 여기서 하나 추측해 볼 수 있는 건, 배후 세력이 APT 단체일 가능성이 높다는 겁니다. 왜냐하면 정찰 공격은 주로 APT 단체들이 하는 일이니까요.” 다만 이셋은 현재까지 APT를 특정할 만한 정보를 얻어내지는 못했다고 한다. “공격 인프라나 코드 유사성이라는 측면 모두에서 힌트를 얻지 못했습니다.”

클라우드멘시스의 또 다른 특징은 ‘고도의 표적 공격’ 형태로 진행되고 있다는 것이다. 다량의 조직이나 인물을 한꺼번에 노리는 게 아니라 고르고 또 고른 소수의 표적만을 집중적으로 공략하는 건데 이 역시 APT 단체들의 특성 중 하나다. “클라우드멘시스 운영자들이 사용하는 스토리지 계정들의 메타데이터를 분석했을 때, 현재까지 공격 표적이 된 건 51개의 맥OS 컴퓨터였습니다. 공격 기간은 2월 4일부터 4월 22일이었고요. 표적이 적죠. 다만 51개 컴퓨터의 위치 정보 등은 파악할 수 없었습니다.”

APT 단체의 특징들이 일부 나타나고 있긴 한데, 클라우드멘시스라는 멀웨어 자체는 그리 고차원적인 기술력을 보이고 있지는 않았다. “코드 전체의 일반적인 질도 떨어지는 편이고, 난독화를 위한 기능들도 없었습니다. 개발자가 누구인 지 모르겠지만, 맥 환경에서의 개발에 능숙하지 않은 모습입니다. 즉 고급 기술을 가진 공격자는 아닌 것처럼 보인다는 것입니다. APT 공격자들은 기술적으로 뛰어난 면모를 보이는 것이 보통인데 말이죠.”

이셋은 클라우드멘시스가 평균 정도 수준의 기술력을 가진 멀웨어라고 보고 있다. “NSO그룹(NSO Group)의 페가수스(Pegasus) 스파이웨어의 경우 제로데이 익스플로잇까지 갖추고 있었죠. 클라우드멘시스에는 그런 것이 없었습니다. 맥 환경에서 이미 알려진 취약점들을 익스플로잇 하는 게 전부였죠. 다만 이런 취약점들은 오래된 맥OS에만 있습니다. 최신 맥OS 시스템을 공략하기 위해서라면 제로데이를 발굴할 수밖에 없는데, 클라우드멘시스 운영자가 그랬을 가능성이 없지 않습니다. 또한 아직까지 클라우드멘시스 공격자들이 피해자에게 어떤 식으로 최초로 접근했는지는 알 수 없습니다.”

이셋은 클라우드멘시스와 같은 멀웨어를 방어하려면 현재까지 알려진 맥OS 취약점을 패치하는 게 가장 중요하다고 강조했다. “아직 최초 침투 기법이 다 밝혀지지 않았기 때문에 명확히 알 수는 없지만 비밀번호 강화, 피싱 방어 교육, 다중 인증 시스템 도입 등이 효과적일 수 있습니다. 또한 애플의 새로운 락다운 모드(Lockdown Mode) 기능을 활성화시키는 것도 도움이 될 수 있습니다.”

3줄 요약
1. 애플 생태계에 나타난, 흔치 않은 정식 스파이웨어 클라우드멘시스.
2. 공격자를 추적할 만한 힌트가 거의 없어 모든 것이 미스터리.
3. 인기 높은 클라우드 저장소 서비스에 멀웨어 호스팅하고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)