맥 사용자를 노린 첫 랜섬웨어가 등장했다는 소식이 전해지면서 혹시 자신의 컴퓨터도 감염된 것이 아닌가 하는 공포가 확산되고 있습니다.
랜섬웨어의 유포 경로가 된 '트랜스미션(Transmission)' 개발팀의 관리 소홀은 비난 받아 마땅하지만, 다행스럽게도 개발팀과 보안 업체, 애플이 공조하면서 필요한 대응조치를 취해나가고 있습니다. 일단 앞서 전해드린 소식에 랜섬웨어 감염 유부와 대응책에 대해 보충할 만한 사항이 있어 따로 정리해 봤습니다.
랜섬웨어 감염 경로
'KeRanger'로 명명된 이번 랜섬웨어는 맥용 토렌트 클라이언트 앱으로 유명한 트랜스미션(Transmission)을 통해 최초로 발견됐습니다.
그런데 랜섬웨어를 최초로 발견한 팔로알토 네트웍스에 따르면, 트랜스미션 모든 버전에 랜섬웨어가 심어져 있는 것은 아니며 (미국 태평양 표준시) 3월 4일 오전 11시부터 3월 5일 오후 7시 사이에 트랜스미션 공식 웹사이트를 통해 배포된 2.90 버전에서 발견됐습니다. 안심하기는 이르지만, 이 기간 이전이나 이후에 공식 웹사이트에서 트랜스미션을 내려받은 경우, 또는 앱 내 업데이트를 통해 2.90 버전을 설치한 경우는 랜섬웨어의 영향을 받지 않는 것으로 알려져 있습니다.
"미국 PST 기준 3월 4일 오전 11시부터 3월 5일 오후 7시 사이에 공식 웹사이트를 통해 트랜스미션 인스톨러를 직접 내려받은 사용자는 KeRanger 랜섬웨어에 감염되어 있을 수 있다."
다만, 랜섬웨어가 어떤 경로로 트랜스미션 개발팀 컴퓨터에 유입되었는지에 관해선 언급이 없었습니다. 외신들은 오픈소스 소프트웨어의 특성상 트랜스미션이 차용한 외부 소스코드에 악성코드가 심어져 있었을 것으로 추측하고 있습니다.
"KeRanger는 유효한 개발자 인증서에 함께 서명되어 유포된다; 덕분에 맥 OS의 게이트키퍼 보호 기능을 우회할 수 있다. 만약 사용자가 감염된 앱을 설치하면, 임베딩 된 파일이 시스템에서 실행된다.
그 후, KeRanger는 3일을 기다렸다가 익명의 토르 네트워크를 통해 C&C 서버에 접속해 암호화 키를 내려받는다. 그리고 시스템에 있는 특정 타입의 문서와 데이터 파일을 암호화하기 시작한다. 암호화 과정이 끝나고 나서 KeRanger는, 피해자에게 파일을 되살리고 싶으면, 1비트코인(약 400달러)을 특정 주소로 지불하라고 요구한다.
KeRanger는 여전히 활발하게 개발되는 중으로 보이며, 피해자가 백업 데이터로 복원하는 걸 막기 위해서 타임머신 백업 파일까지 암호화시키려고 하는 것으로 보인다."
랜섬웨어 감염 여부 진단
이 기간에 트랜스미션을 설치한 분은 다음 과정을 참고하여 랜섬웨어 감염 여부를 진단할 수 있습니다.
1. 응용 프로그램 > 유틸리티 폴더에 위치한 '활성 상태 보기(Activity Monitor)' 앱을 실행합니다.
2. 활성 상태 보기 오른쪽 위에 위치한 검색 필드에 'kernel'을 입력합니다. 만약 아래 사진과 같이 'kernel_service'라는 프로세스가 실행 중이면 랜섬웨어에 감염된 것입니다. 참고로 'kernel_task' 'KernelEventAgent'는 이번 랜섬웨어와 무관하니 안심해도 됩니다. ▼
3. 해당 프로세스를 중지하기 위해 목록에서 'kernel_service'를 선택한 뒤 윈도우 왼쪽 위에 있는 x 버튼을 누르고 '강제 종료' 버튼을 클릭합니다. ▼
4. 응용 프로그램 > 유틸리티 폴더에 있는 '터미널(Terminal)'을 실행한 뒤 아래 명령어를 입력해 랜섬웨어 관련 파일을 삭제합니다. ▼
rm -rf ~/Library/.kernel_time ~/Library/.kernel_complete ~/Library/kernel_service ~/Library/.kernel_pid
애플도 대응 나서
팔로알토 네트웍스에 따르면 랜섬웨어를 발견하자 마자 애플에 이 사실을 통보한 것으로 알려졌습니다.
이에 애플도 일요일인 6일에 랜섬웨어 실행을 억제하는 XProtect 업데이트를 배포하고 있습니다. 이번 업데이트로 'XProtect' 정의 데이터베이스가 v2076 버전으로 판올림되는데요. 중요한 보안 업데이트으므로 별도의 안내 없이 배경에서 자동으로 설치가 완료됩니다.
그런데 지난 주에 불거진 '이더넷 작동 불능' 문제 보안 업데이트를 꺼두신 분이 적지 않을 텐데요. 이런 분은 > 시스템 환경설정 > App Store에 들어가 '자동으로 업데이트' 항목의 '시스템 데이터 파일 및 보안 업데이트 설치'를 다시 체크하시기 바랍니다. 그러면 24시간 이내 보안 업데이트가 설치됩니다. ▼
만약 지금 당장 보안 업데이트를 진행하고 싶은 분은 아래 방법을 참고하시기 바랍니다.
1. 응용 프로그램 > 유틸리티 폴더에 있는 '터미널(Terminal)'을 실행한 뒤 아래 명령어를 입력합니다. ▼
2. 보안 업데이트가 제대로 설치되었는지 확인하려면, 우선 Finder에서 command + shift + G 키를 사용해 아래 경로로 이동합니다. OS X 버전에 따라 보안 업데이트 설치 경로가 다르니 이점 유념하시기 바랍니다. ▼
※ OS X 10.11 El Capitan
/System/Library/CoreServices/XProtect.bundle/Contents/Resources/
※ OS X 10.10 Yosemite
/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/
3. 폴더에 있는 XProtect.plist를 텍스트 편집기나 Xcode로 열었을 때 'OSX.KeRanger.A'라는 키가 포함돼 있으면 보안 업데이트가 잘 설치된 것입니다. ▼
Transmission 2.92 버전 설치
트랜스미션 개발팀도 문제가 해결된 2.92 버전을 긴급히 배포하며 결자해지 하는 모습을 보여주고 있습니다. 물론 랜섬웨어 유포 창구가 된 앱을 다시 설치해야 하는 게 어딘가 껄끄러운 것도 사실입니다. 아무튼 가장 최근에 나온 트랜스미션 2.92 버전은 랜섬웨어 감염유무를 체크하고, 만약 랜섬웨어에 감염되었으면 이를 제거해 주는 기능이 포함되어 있다고 합니다.
테스트 삼아 OS X 가상머신에 트랜스미션 2.90 버전을 먼저 설치했습니다. 그리고 랜섬웨어 프로세스가 백그라운드에서 돌아가는 것을 확인한 뒤, 트랜스미션 2.92 버전을 실행했는데 데몬 프로세스(kernel_service)가 강제 종료되는 것은 물론, 'KeRanger' 랜섬웨어와 관련된 모든 파일이 자동으로 삭제되는 것을 확인할 수 있었습니다.
참조
• Palo Alto Networks - New OS X Ransomware KeRanger Infected Transmission BitTorrent Client
관련 글
• 애플 맥 사용자 목표로 한 첫 랜섬웨어 등장... 맥용 토렌트 클라이언트 '트랜스미션(Transmission)' 통해 유포
• 맥용 애드웨어 제거 도구 'Malwarebytes Anti-Malware'
• 맥용 안티바이러스 제품 13종 2015 AV-Test 결과
• 잘 알려지지 않은 OS X 보안 체계의 한 기둥 'XProtect'