Home > 전체기사
6월에만 세 개! 맥OS 환경을 위협하는 멀웨어, 빠르게 증가 중
  |  입력 : 2019-07-03 15:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
한 보안 회사가 발견한 것이 세 개...제로데이, 패키지, 사파리 악용
맥OS가 윈도우보다 더 안전하다고? 일각에서는 “옛말”이라고 주장


[보안뉴스 문가용 기자] 맥OS 환경에서 활동하는 새로운 멀웨어들이 연달아 등장하고 있다. 제로데이 익스플로잇, 탐지 및 분석 방해 기능을 갖춘 패키지, 사파리 브라우저를 통해 공격을 가하는 멀웨어 패밀리 등 종류도 다양하다. 이 때문에 윈도우보다 안전하다는 맥OS에 대한 인식이 점점 흐려지고 있다.

[이미지 = iclickart]


제로데이
먼저 제로데이 익스플로잇은, 보안 업체 인테고(Intego)의 보안 전문가들이 발견한 것으로 OSX/링커(OSX/Linker)라는 이름이 붙었다. 맥OS 게이트키퍼에서 발견된 취약점을 익스플로잇 한다. 게이트키퍼는 맥OS의 보안 기능 중 하나로 코드 서명을 관리하는 기능을 수행함으로써 안전한 애플리케이션들만 실행될 수 있도록 해준다.

OSX/링커가 익스플로잇 하는 제로데이 취약점은 게이트키퍼 우회 취약점으로, 2019년 2월에 처음으로 발견됐다. 발견자는 독립적으로 보안 전문가 활동을 하는 필리포 카발라린(Filippo Cavallarin)이라고 한다. 하지만 카발라린이 취약점을 애플에 알리고 90일이 지나도록 패치가 나오지 않았고, 카발라린은 하는 수 없이 취약점을 세상에 공개했다. 5월 24일의 일이었다.

취약점의 핵심은 “게이트키퍼가 로컬 네트워크에 있는 파일은 인터넷에서 받은 파일보다 덜 까다롭게 검사한다”는 것이다. 인테고의 보안 분석가인 조슈아 롱(Joshua Long)은 “공격자들이 실제로 이 취약점을 익스플로잇 하는 중인데, 아직까지도 애플이 패치하지 않고 있다”고 설명을 추가했다. “OSX/링커의 존재가 바로 공격자들이 실제로 움직인다는 것의 증거죠. 게다가 저희가 찾아낸 샘플은 개념증명용 코드일 뿐입니다.”

패키지
그 다음 멀웨어 역시 인테고의 전문가들이 발견했다. 오래된 공격 기법에 ‘스텔스’ 기능을 더한 것이라고 인테고는 요약한다. “이 멀웨어는 OSX/크레센트코어(OSX/CrescentCore)로, 악성 어도비 플래시 플레이어에 현대적인 난독화 기술을 덧붙인 것입니다. 최신 버전의 플래시 플레이어 설치파일인 것처럼 위장해 사용자들을 속이는 건 아주 오래된 기법으로, 플래시 플레이어가 워낙에 취약점 많기로 소문이 났기 때문에 업데이트를 빠르게 하려는 사용자들의 성향을 노린 것이라고 볼 수 있습니다.”

이 멀웨어 패키지의 경우 제일 먼저 가상기계 안에서 실행되고 있는지부터 확인한다고 롱은 설명한다. “그럴 경우 설치를 제대로 끝내지 않습니다. 이 과정을 통과한 후에도 지속적으로 안티멀웨어 솔루션과 백신 솔루션, 리버스 엔지니어링 툴을 확인하고 넘어갑니다. 절대로 들키지 않겠다는 제작자의 의지가 엿보일 정도입니다.”

롱이 OSX/크레센트코어를 발견한 건 실험실에서가 아니다. 실제 공격이 벌어지고 있는 현장에서였다. “OSX/링커가 개념증명용에 가까웠다면, OSX/크레센트코어는 완성된 무기입니다. 실제 이것에 당한 공격자들이 다수 있을 가능성이 높습니다.”

사파리 브라우저 악용
마지막 멀웨어 역시 인테고가 찾았다. OSX/뉴탭(OSX/NewTab)이라는 이름을 가졌으며 사라피 브라우저에 새 탭을 추가하고, 그 탭을 통해 각종 로더나 멀웨어를 불러들인다. 그런 상태에서 새롭게 설치한 로더와 멀웨어에 맞는 공격을 진행하기도 한다.

이 세 가지 멀웨어들은 전부 6월에 발견된 것으로, “맥OS 환경에도 멀웨어가 점점 번지고 있다는 것을 증명한다”고 인테고는 설명한다. 그러면서 “이 세 가지 방법을 통해 피해자의 시스템에 심겨진 멀웨어들로는 1) 백도어, 2) 스파이웨어, 3) 키스트로크 멀웨어, 4) 스크린샷 저장 및 전송 기능을 가진 멀웨어 등이 있었다”고 덧붙였다.

멀웨어로 인해 뒤바뀐 ‘안전 순위’
인테고의 롱은 “사이버 범죄자들이 OS에 침투하는 회수가 늘어나고 있다”며 “지금 이 시점에서만큼은 맥OS보다 윈도우가 안전한 환경”이라고 주장했다. “오랫동안 맥OS는 보안에 강력하고, 그러므로 안전하다는 인식이 있었는데요, 오히려 이런 인식이 더 큰 틈을 만들고 있습니다. 애플도 더 이상 자만하지 말고, 애플 사용자들도 여느 윈도우 사용자들처럼 더 보안에 관심을 가져야 할 것으로 보입니다.”

정말로 롱은 윈도우가 더 안전하다고 믿고 있을까? “사실 정확히 판단을 내릴 수는 없습니다. 하지만 맥OS는 윈도우 시스템보다 더 표적 공격에 노출되어 있기도 하고(이것만으로도 충분히 위험하다고 말할 수 있습니다), 윈도우는 최신 버전으로 올수록 보안 기능이 향상하고 있습니다. MS가 ‘윈도우는 약하고 느리다’는 편견을 깨기 위해 엄청난 땀을 흘리고 있기도 하지요. 여러 가지 상황을 봤을 때 윈도우가 더 낫거나, 최소 둘이 비슷한 수준이라고 봅니다.”

3줄 요약
1. 맥OS 플랫폼 노린 새로운 멀웨어, 6월에만 세 개 발견됨.
2. 제로데이를 익스플로잇 한 것, 난독화 기술을 덧입은 패키지, 사파리를 공격 통로로 활용하는 멀웨어들.
3. 맥OS가 과연 안전한 OS일까? 일부는 윈도우가 안전성에서 맥OS를 역전했다고도 주장.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)