미 IT매체 씨넷은 17일(현지시각) 핀란드 보안전문 업체 F시큐어(F-secure)가 사용자의 동의 없이 일련의 스크린샷을 촬영한 다음 원격 서버로 전송하는 백도어(Backdoor) 유형의 새로운 멀웨어(악성코드)를 발견했다고 보도했습니다.
* 이미지 출처: F-Secure
씨넷의 보도에 따르면, OSX/KitM.A라는 진단명이 붙은 이번 멀웨어는 'mac.app'이라는 맥용 애플리케이션 형태로 작동하며, OS X 로그인 항목에 자동으로 등록돼 맥이 부팅할 때마다 자동으로 실행됩니다. 또한, 스크린샷을 연속적으로 찰영한 다음 'securitytable.org'와 'docsforum.info '라는 URL로 스크린샷 이미지를 무단으로 전송하는 기능이 내장되어 있는데, 아직 한쪽 서버는 작동하지 않고 있으며, 다른 한쪽은 403 액세스 거부 메시지를 띄우고 있어 스크린샷 파일이 맥 내에 머무르고 있다고 씨넷은 밝혔습니다.
이 멀웨어가 맥을 공격대상으로 삼는 다른 멀웨어와 차별화되는 부분은 정상적인 애플 개발자 ID 서명(인증서)를 포함하고 있다는 점입니다. 다시 말해, 맥 앱스토어나 확인되지 않은 개발자가 만든 앱을 실행할 수 없도록 하는 ‘게이트키퍼’ 기능이 켜져 있더라도 사용자가 멀웨어를 실행하면 별다른 경고 문구나 제재 없이 맥에 쉽게 설치될 수 있습니다. 씨넷은 해당 멀웨어를 개발한 사람의 이름이 'Rajender Kumar'로 밝혀졌는데, 인도 영화 '발리우드'의 주인공 'Rajendra Kumar'와 비슷한 점을 들어 개발자의 본명이 아닐 수 있으며, 멀웨어를 보다 쉽게 확산하려는 의도로 애플 개발자 ID를 취득했을 수 있다고 말했습니다. 또 해당 멀웨어가 노르웨이 오슬로 자유 포럼 “Oslo Freedom Forum”에 참가 중인 한 아프리카 인권운동가가 사용하고 있는 맥에서 처음 발견된 것을 들어 무차별 살포가 아닌 특정인을 노린 것일 가능성도 있다고 언급했습니다.
* 이미지 출처: F-Secure
정상적인 개발자 ID로 만든 앱이라 할지라도 애플이 해당 애플 개발자 ID의 인가를 취소하면 게이트키퍼가 활성화된 모든 맥에서 해당 멀웨어의 실행이 일제히 중단됩니다. 다만, 애플이 조치를 취하기 전에 맥이 멀웨어에 감염되었는지 여부는 OS X 시스템 환경설정 > '사용자 및 그룹' > 로그인 항목에 'mac.app'이 등록되어 있는지로 확인할 수 있으며, 만에 하나 감염되어 있다면 신속하게 로그인 항목에서 제거한 다음 다운로드 폴더나 사용자 홈 폴더, 응용 프로그램 폴더에서 mac.app을 찾은 다음 삭제하시기 바랍니다.
참조
• CNET - New Mac spyware found in the Oslo Freedom Forum, MacWorld
관련 글
• 휴대폰 소액결제 유도하는 '맥용' 악성 프로그램 발견
• 애플 맥 노린 플래시 트로이목마 위협 증가
• 애플, 마이크로소프트 윈도우 비스타의 보안과 검토를 도왔던 화이트해커를 고용
• 애플의 맥 앱스토어 '샌드박싱' 정책이란?