Home > 전체기사
애플, 쉴레이어라는 애드웨어를 실수로 공증
  |  입력 : 2020-09-01 11:36
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
맥OS 환경에서 가장 흔하게 나타나는 위협 쉴레이어...애플의 공증까지 거쳐
애플이 부랴부랴 인증서를 폐지했으나 곧바로 조금 다른 애드웨어가 나타나기도


[보안뉴스 문가용 기자] 애플이 맥용 멀웨어 중 가장 흔히 나타나는 쉴레이어(OSX.Shlayer)를 실수로 공증하는 일이 벌어졌다. 이 때문에 맥 환경에 쉴레이어가 설치되어도 아무런 경고가 뜨지 않는다.

[이미지 = utoimage]


애플의 공증 서비스는 최신 맥OS 버전에 탑재된 자동화 시스템으로, 맥OS 앱들은 물론 커널 확장 프로그램들과 디스크 이미지, 설치 패키지 등을 스캔해 악성 콘텐츠를 찾아낸다. 또한 코드 서명과 관련된 문제들을 확인하기도 한다. 사용자가 소프트웨어를 설치할 때는 애플의 게이트키퍼(Gatekeeper) 기능이 해당 소프트웨어에 악성 코드가 있는지 확인한다.

애플의 이런 자동화 공증 시스템이 멀웨어를 공증하고 있다는 걸 발견한 건 보안 전문가 피터 단티니(Peter Dantini)와 패트릭 워들(Patrick Wardle)이다. 이 쉴레이어는 최근 진행된 애드웨어 캠페인에 활용되기도 했다. 워들은 자신의 블로그를 통해 “신뢰를 기반으로 한 시스템에서 이런 일이 발생했다는 것이 상당히 아쉽다”며 “애플 사용자들은 앞으로 애플이 보증한 소프트웨어들을 의심할 수밖에 없게 되었다”고 설명했다.

단티니의 경우, 한 웹사이트(homebrew.sh)에서 애드웨어 캠페인이 진행되고 있다는 것을 발견했다. 사이트 자체는 정상적이고 평범한 사이트였다. 즉, 공격자들이 이 사이트를 침해해 자신들의 공격 캠페인을 펼친 것이다. “공격자들은 피싱 공격을 통해 피해자들을 이 사이트로 유입시켰고, 유입된 피해자들은 여러 경로를 우회한 뒤 경고 창이 뜨는 것을 보게 됩니다. 플래시 플레이어를 설치해야 한다는 내용입니다. 지극히 전형적인 공격 전략인데요, 악성 페이로드를 애플이 공증해주었기 때문에 아무런 경고가 뜨지 않습니다.”

페이로드를 더 분석해보니 쉴레이어인 것으로 나타났다. 이를 가상 환경에서 실행시켰을 때 다양한 셸 명령어를 실행시킬 수 있다는 사실이 드러났다. 파일 모드 변경, 파일 실행 및 삭제 등이 수행 가능한 명령어인 것으로 밝혀졌다. 워들은 이 사실을 애플에 알렸고, 애플은 8월 28일자로 쉴레이어의 인증서를 폐지시켰다. 하지만 공격자들은 8월 30일부터 새롭게 공증 받은 페이로드들을 사용해 애드웨어 캠페인을 이어갔다.

이 새 페이로드는 이전에 발견된 쉴레이어와 거의 동일한 것으로 보일 정도로 유사하다. 다만 번들로어(Bundlore)라는 애드웨어와 패키징 되어 있다는 점에서 차이를 보였다고 한다. “공격자들이 간단하지만 빠르게 대처한 것을 보면 보안 담당자와 해커들 사이의 ‘술래잡기’ 게임이 지속되고 있다는 걸 알 수 있습니다. 그것이 현재 보안 생태계의 본질이기도 합니다.”

쉴레이어는 맥 환경에서 가장 흔히 나타나는 유형의 위협 요소다. 보안 업체 카스퍼스키가 조사한 바에 따르면 작년 맥OS 장비에서 나타난 가장 자주 나타난 것이 바로 이 쉴레이어였다(전체의 29%). 최근 발견된 버전은 구글 검색 결과를 포이즈닝 해서 피해자들을 속는 기술이 추가된 상태였다. 번들로어의 경우, 다양한 브라우저 확장 프로그램들을 설치함으로써 여러 가지 광고를 노출시키는 것을 목적으로 한다.

애플은 미국 현지 시각 기준 월요일부터 이 새 쉴레이어의 인증서 역시 폐지시켰다. 하지만 공격자들이 또 어떤 방식으로 애드웨어 캠페인을 시작할지는 아무도 모른다. “악성 소프트웨어 운영자들은 끊임없이 변화합니다. 애플의 공증 시스템이 완전히 실패한 것도 아닙니다. 다만 끊임없는 변화 앞에 완전한 방어 체제란 있을 수 없다는 게 다시 한 번 증명되었을 뿐이죠. 끊임없는 변화에 대응할 수 있는 건 지속적인 점검과 발 빠른 조치입니다. 그것만 계속 해줄 수 있어도 충분히 안전한 시스템입니다.”

3줄 요약
1. 애플의 자동 공증 시스템, 실수로 애드웨어를 공증.
2. 그래서 흔한 피싱 공격이 무사통과. 애드웨어 폐지시켰더니 새 애드웨어 등장.
3. 현재 보안의 본질은 쫓는 자와 쫓기는 자의 술래잡기.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상