Offcanvas

보안 / 악성코드

"해킹 안전지대는 없다"··· 맥 겨냥한 악성코드 발견

2017.02.08 Michael Kan  |  IDG News Service
"맥을 사용한다고 해서 반드시 해커로부터 안전한 것은 아니다" 최근 보안 연구자들이 잇달아 경고를 내놓는 가운데, 미국 군수업계를 겨냥한 맥용 악성코드가 발견됐다. 이란 해커가 제작한 것으로 추정된다.

이 악성코드는 '맥다운로드(MacDownloader)'라고 불린다. 이란의 사이버 위협을 연구하고 있는 콜린 앤더슨과 클라우디오 구아니어리가 미국 항공업체 유나이티드 테크놀로지(United Technologies)의 웹사이트처럼 꾸민 가짜 사이트에서 발견했다. 이 가짜 사이트는 이전에도 윈도우 악성코드를 확산하는 피싱 이메일 공격에 사용됐다. 이들 연구자는 이 사이트가 이란 해커에 의해 관리되고 있다고 주장했다.

이 사이트에 접속하면 록히드 마틴(Lockheed Martin), 레이시언(Raytheon), 보잉(Boeing) 같은 미국 군수업체 취업 과정과 무료 프로그램에 대한 안내 페이지가 나타난다. 이 사이트에 포함된 비디오를 재생하기 위해 어도비 플래시를 설치하는 과정에서 악성코드가 다운로드된다. 웹사이트는 운영체제를 감지해 윈도우 또한 맥용 악성코드를 각각 퍼뜨린다.



맥 다운로더 악성코드는 희생자의 컴퓨터를 분석한 후 계정 정보를 빼내도록 설계됐다. 가짜 시스템 로그인 박스를 만들어 애플의 암호관리 시스템인 키체인(Keychain)에서 계정 정보를 수집한다.

연구자들은 "이 악성코드는 정교한 것은 아니다. 아마도 아마추어 개발자가 만든 것으로 보인다"라고 말했다. 예를 들어 악성코드가 설치하면, 가짜 어도비 플래시 플레이어 대화상자를 만들고 컴퓨터에서 애드웨어가 감지됐으며 이를 삭제하겠느냐는 안내문이 등장한다. 연구자들은 "이 대화상자에 오타와 잘못된 표현이 많다. 해커가 품질 관리에 거의 신경을 쓰지 않았음을 보여준다"라고 말했다.

또한, 이 악성 코드에는 추가적으로 다른 악성 코드를 다운로드하는 스크립트가 포함돼 있지만 제대로 실행되지 않았다. 그러나 이런 조잡한 품질에도 불구하고 이 악성코드는 안티바이러스 스캐닝 엔진인 '바이러스토탈(VirusTotal)'에서 감지되지 않았다.

연구자들은 이 악성코드가 이란과 관련이 있다는 증거를 제시했다. 맥다운로드 에이전트가 업로드된 무선 네트워크 이름이 'Jok2r', 'mb_1986'인데, 이는 모두 기존에 사이버 공격을 했던 이란 해킹 그룹과 연관이 있다는 것이다. 대표적인 그룹이 '플라잉 키튼(Flying Kitten)'으로, 미국 군수 외주업체와 정치인을 목표로 사이버 공격을 한 혐의를 받고 있다.

맥다운로더 악성코드의 또다른 목표는 인권 운동가이다. 앤더슨은 "이 악성코드가 위험한 것은 많은 인권 지지자들, 특히 이란의 인권 운동가들이 애플 기기를 사용하기 때문이다. 이 악성코드는 정교하지도 많은 기능을 갖고 있는 것도 아니지만 맥용 악성코드가 갑자기 등장한 것은 그만큼 애플 컴퓨터 사용자가 늘었다는 의미이다"라고 말했다.

보안 연구자들에 따르면 맥용 악성코드는 아직까지 매우 드물게 발견된다. 해커들은 주로 사용자가 훨씬 많은 윈도우 기반 기기를 공격한다. 그러나 맥용 악성코드도 꾸준히 나오고 있다. 지난달에는 한 의학 연구소에서 자료를 빼내도록 설계된 악성코드를 발견되기도 했다. 이 맥용 트로이얀은 이미 몇달 전에 등장한 것으로, 당시에는 우주항공업체를 목표로 했었다. ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.