우매한 수준에 불과한 애플 OS X용 멀웨어 차단 방법

변변찮은 애플 OS X 멀웨어에 당하고 있는 안타까운 상황

노트북 시장이 주춤해도 식을 줄 모르는 맥 노트북의 인기

[보안뉴스 주소형] 애플의 운영체제인 OS X를 감염시키는 멀웨어들은 그다지 똘똘하지 못하다는 연구 결과가 나왔다. “표적에 침투해 감염시키는 데까지는 성공하지만, 딱 거기까지다. 아직 미성숙한 단계로 보다 고급스러운 기능을 발휘하지도 못하고 탐지와 방어가 상당히 간편한 편이다.” 사이낵(Synack)의 연구원인 패트릭 워들(Patrick Wardle)의 말이다.

그렇다면 이렇게 간단하고 똘똘하지 못한 멀웨어에 자꾸만 당하는 건 무슨 이유에서일까? 애플은 물론 애플의 파트너 업체들이 OS X용 멀웨어 탐지 툴의 기능을 실험할 때 화석만큼 오래된 멀웨어를 사용하기 때문. 얼마나 오래됐냐면 멀웨어 코딩을 조금만 배워도 누구나 쉽게 업그레이드 버전을 개발할 수 있을 정도라고 한다. “그렇다는 건 국가의 후원을 받는 최고급 해킹단체에겐 어린아이 손목 비트는 수준의 작업이라는 소리다.”

게다가 맥 컴퓨터의 인기는 식을 줄을 모른다. 실제로 지난 3월, 맥의 공식 데이터에 따르면 전체 노트북 시장이 주춤했던 가운데에서도 맥 노트북 매출만은 전년대비 21% 상승했다. 이에 대해 애플은 맥이 윈도우 기반의 컴퓨터에 비해 안전하기 때문이라고 주장하고 있다.

아예 틀린 말은 아니다. 여태까지는 비교적 사실에 가까운 내용이기도 했다. 물론 가장 초창기 멀웨어 중 하나인 ‘엘크 클로너(Elk Cloner)’에 애플 II 컴퓨터가 일찌감치 감염된 역사가 있긴 하지만 지난 5년 동안 등장한 OS X 멀웨어는 고작 50개에 불과했다. 윈도우 기반 시스템들이 같은 기간 동안 수천 개에 달하는 멀웨어에 당했다는 걸 감안해보면 50개는 정말 아무 것도 아니다. 하지만 지난 2014년 OS X를 괴롭힌 멀웨어는 갑자기 1,000 단위로 급증했다. 해당 수치는 카스퍼스티 랩의 통계에 따른 것이다.

워들 연구원은 이렇게 빠르게 늘어가는 OS X 멀웨어의 현황을 파악하기 위해 최근 멀웨어들인 OSX/XSLCMD, OSX/WIRELURKER(USB를 통해 감염되는 멀웨어), OSX/CRISIS 등을 연구했다.

그 결과, 대부분의 멀웨어들의 감염 경로가 트로이 목마였다는 것을 발견했다. 즉 멀웨어에 감염시키기 위해서는 사용자들의 ‘협조’도 필요하다는 것. 물론 보다 최신식인 피싱 공격을 취하는 예도 있었다. 그러나 그런 경우라도 사용되는 멀웨어나 익스플로잇은 여전히 구식이었다고. “아무 링크나 클릭하지 않거나 업데이트만 꾸준히 해주는 등의 간단한 보안 수칙만 따라도 철벽방어가 가능할 지경”이라고 워들 연구원이 말했다.

APT 공격으로 대표되는 멀웨어의 특성 중 지속성이라는 측면에서 보자면 OS X 멀웨어는 굉장히 부실했다. 탐지나 발견, 심지어 방지까지 죄다 간단했기 때문이다. 또한 최근 멀웨어들은 하드웨어를 파괴하거나 분석을 어렵게 하는 등 자기방어 기능도 뛰어난데, OS X의 멀웨어들은 삭제도 아주 용이했다. 심지어 몰래 숨으려는 노력도 보이지 않았다. “사냥꾼 앞에서 눈만 가리는 꿩처럼 숨는 시늉만 하거나, 아예 그냥 대놓고 단독 실행파일 형태인 멀웨어도 있었다.”

“여태껏 나온 OS X 멀웨어들은 침투와 감염이라는 멀웨어의 가장 본질적이고 기본적인 기능을 수행하기에는 충분하지만 그 이상은 가지 못하고 있다. 해당 멀웨어들이 어떻게 실행되는지 조금만 살펴보면 이들이 얼마나 유치한 방법을 사용하고 있는 지 알 수 있다. 마치 초창기 바이러스 같다.” OS X용 멀웨어들 대부분 개인 방화벽과 안티 바이러스 소프트웨어를 우회할 수 있는 기능조차 갖추고 있지 않다고 그는 덧붙였다. “OS X 멀웨어는 점수를 잘 줘봐야 C+ 정도다. 여기에 당한다는 건 보안 수준이 C+만도 못하다는 뜻이다.”

애플은 이러한 멀웨어들을 차단하기 위해 엑스프로텍트(XProtect)와 같은 안티바이러스 솔루션을 내장시키고, 다운로드 하는 소프트웨어를 확인 할 수 있는 게이트키퍼(Gatekeeper), 맥 스토어에 있는 애플리케이션을 방어할 는 샌드박싱(sandboxing) 등을 개발했다.

하지만 멀웨어가 유치한 것처럼 이런 보안 솔루션의 기능 역시 그리 대단치는 못하다는 게 워들의 평이다. 예를 들어 바이너리 감염이라는 게 있는데, 오래된 방법임에도 불구하고 다양한 공격 메커니즘이 가능하긴 하다. OS X는 이 오래된 공격이 조금 변수가 많다는 이유로 쉽게 노출된다고 한다. “바이너리만 감염시켜도 OS X의 프로세스를 쉽게 셧다운 시킬 수 있다.”

OS X의 웹 브라우저에 로드 시간(load time) 프로세스 삽입 공격을 감행할 수도 있다. 브라우저가 실행될 때마다 위 공격을 실행하면 브라우저가 아무 사이트나 다 신뢰하게 만들 수 있는 공격이다. 브라우저가 신뢰하기 때문에 방화벽도 무용지물이 되고, 브라우저 내에 숨어있기 때문에 멀웨어가 발견되지도 않는다.

또한 공격자가 OS X 상에 있는 동적 라이브러리(dynamic library)에서 멀웨어 공격을 하여 시스템을 지속적으로 취약하게 만들고, 임의의 프로세스를 삽입하는 등의 노력으로 게이트키퍼 같은 보안기능 우회까지 가능하다고 워들 연구원은 덧붙였다.

이에 그는 맥의 보안성을 강화하기 위한 툴 몇 가지를 제시했다. 가장 먼저 노크노크(KnockKnock)라고 불리는 탐지 툴이다. APT 공격 멀웨어처럼 시스템에 계속 숨어있는 것들을 찾아내는 데 특화되어 있다. 실행파일, 커널 확장, 멀웨어 등을 탐지한다. 다만 이는 사용자가 의식적으로 실행함으로써 시스템을 검사하는 식으로, 사전에 이상징후를 발견하거나 하는 데 적합하지는 않다. 이에 그는 블록블록(BlockBlock)이라는 실시간 감지 툴을 사용도 함께 권장했다.

뿐만 아니라 그는 테스크익스플로러(TaskExplorer)로 불리는 작업관리자 툴에 대해서도 설명했다. “애플 애플리케이션을 실행시키거나 서명되지 않은 코드를 필터링하는 데 용이하다”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)