애플, 쉴레이어라는 애드웨어를 실수로 공증

맥OS 환경에서 가장 흔하게 나타나는 위협 쉴레이어...애플의 공증까지 거쳐
애플이 부랴부랴 인증서를 폐지했으나 곧바로 조금 다른 애드웨어가 나타나기도

[보안뉴스 문가용 기자] 애플이 맥용 멀웨어 중 가장 흔히 나타나는 쉴레이어(OSX.Shlayer)를 실수로 공증하는 일이 벌어졌다. 이 때문에 맥 환경에 쉴레이어가 설치되어도 아무런 경고가 뜨지 않는다.

[이미지 = utoimage]

애플의 공증 서비스는 최신 맥OS 버전에 탑재된 자동화 시스템으로, 맥OS 앱들은 물론 커널 확장 프로그램들과 디스크 이미지, 설치 패키지 등을 스캔해 악성 콘텐츠를 찾아낸다. 또한 코드 서명과 관련된 문제들을 확인하기도 한다. 사용자가 소프트웨어를 설치할 때는 애플의 게이트키퍼(Gatekeeper) 기능이 해당 소프트웨어에 악성 코드가 있는지 확인한다.

애플의 이런 자동화 공증 시스템이 멀웨어를 공증하고 있다는 걸 발견한 건 보안 전문가 피터 단티니(Peter Dantini)와 패트릭 워들(Patrick Wardle)이다. 이 쉴레이어는 최근 진행된 애드웨어 캠페인에 활용되기도 했다. 워들은 자신의 블로그를 통해 “신뢰를 기반으로 한 시스템에서 이런 일이 발생했다는 것이 상당히 아쉽다”며 “애플 사용자들은 앞으로 애플이 보증한 소프트웨어들을 의심할 수밖에 없게 되었다”고 설명했다.

단티니의 경우, 한 웹사이트(homebrew.sh)에서 애드웨어 캠페인이 진행되고 있다는 것을 발견했다. 사이트 자체는 정상적이고 평범한 사이트였다. 즉, 공격자들이 이 사이트를 침해해 자신들의 공격 캠페인을 펼친 것이다. “공격자들은 피싱 공격을 통해 피해자들을 이 사이트로 유입시켰고, 유입된 피해자들은 여러 경로를 우회한 뒤 경고 창이 뜨는 것을 보게 됩니다. 플래시 플레이어를 설치해야 한다는 내용입니다. 지극히 전형적인 공격 전략인데요, 악성 페이로드를 애플이 공증해주었기 때문에 아무런 경고가 뜨지 않습니다.”

페이로드를 더 분석해보니 쉴레이어인 것으로 나타났다. 이를 가상 환경에서 실행시켰을 때 다양한 셸 명령어를 실행시킬 수 있다는 사실이 드러났다. 파일 모드 변경, 파일 실행 및 삭제 등이 수행 가능한 명령어인 것으로 밝혀졌다. 워들은 이 사실을 애플에 알렸고, 애플은 8월 28일자로 쉴레이어의 인증서를 폐지시켰다. 하지만 공격자들은 8월 30일부터 새롭게 공증 받은 페이로드들을 사용해 애드웨어 캠페인을 이어갔다.

이 새 페이로드는 이전에 발견된 쉴레이어와 거의 동일한 것으로 보일 정도로 유사하다. 다만 번들로어(Bundlore)라는 애드웨어와 패키징 되어 있다는 점에서 차이를 보였다고 한다. “공격자들이 간단하지만 빠르게 대처한 것을 보면 보안 담당자와 해커들 사이의 ‘술래잡기’ 게임이 지속되고 있다는 걸 알 수 있습니다. 그것이 현재 보안 생태계의 본질이기도 합니다.”

쉴레이어는 맥 환경에서 가장 흔히 나타나는 유형의 위협 요소다. 보안 업체 카스퍼스키가 조사한 바에 따르면 작년 맥OS 장비에서 나타난 가장 자주 나타난 것이 바로 이 쉴레이어였다(전체의 29%). 최근 발견된 버전은 구글 검색 결과를 포이즈닝 해서 피해자들을 속는 기술이 추가된 상태였다. 번들로어의 경우, 다양한 브라우저 확장 프로그램들을 설치함으로써 여러 가지 광고를 노출시키는 것을 목적으로 한다.

애플은 미국 현지 시각 기준 월요일부터 이 새 쉴레이어의 인증서 역시 폐지시켰다. 하지만 공격자들이 또 어떤 방식으로 애드웨어 캠페인을 시작할지는 아무도 모른다. “악성 소프트웨어 운영자들은 끊임없이 변화합니다. 애플의 공증 시스템이 완전히 실패한 것도 아닙니다. 다만 끊임없는 변화 앞에 완전한 방어 체제란 있을 수 없다는 게 다시 한 번 증명되었을 뿐이죠. 끊임없는 변화에 대응할 수 있는 건 지속적인 점검과 발 빠른 조치입니다. 그것만 계속 해줄 수 있어도 충분히 안전한 시스템입니다.”

3줄 요약
1. 애플의 자동 공증 시스템, 실수로 애드웨어를 공증.
2. 그래서 흔한 피싱 공격이 무사통과. 애드웨어 폐지시켰더니 새 애드웨어 등장.
3. 현재 보안의 본질은 쫓는 자와 쫓기는 자의 술래잡기.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)