OS X 보안 기술 우회하기 위해 정상적인 애플 개발자 ID로 만든 멀웨어 발견... 스크린샷 촬영 후 외부로 전송

2013. 5. 18. 05:49    작성자: ONE™

미 IT매체 씨넷은 17일(현지시각) 핀란드 보안전문 업체 F시큐어(F-secure)가 사용자의 동의 없이 일련의 스크린샷을 촬영한 다음 원격 서버로 전송하는 백도어(Backdoor) 유형의 새로운 멀웨어(악성코드)를 발견했다고 보도했습니다.


* 이미지 출처: F-Secure

씨넷의 보도에 따르면, OSX/KitM.A라는 진단명이 붙은 이번 멀웨어는 'mac.app'이라는 맥용 애플리케이션 형태로 작동하며, OS X 로그인 항목에 자동으로 등록돼 맥이 부팅할 때마다 자동으로 실행됩니다. 또한, 스크린샷을 연속적으로 찰영한 다음 'securitytable.org'와 'docsforum.info '라는 URL로 스크린샷 이미지를 무단으로 전송하는 기능이 내장되어 있는데, 아직 한쪽 서버는 작동하지 않고 있으며, 다른 한쪽은 403 액세스 거부 메시지를 띄우고 있어 스크린샷 파일이 맥 내에 머무르고 있다고 씨넷은 밝혔습니다.

이 멀웨어가 맥을 공격대상으로 삼는 다른 멀웨어와 차별화되는 부분은 정상적인 애플 개발자 ID 서명(인증서)를 포함하고 있다는 점입니다. 다시 말해, 맥 앱스토어나 확인되지 않은 개발자가 만든 앱을 실행할 수 없도록 하는 ‘게이트키퍼’ 기능이 켜져 있더라도 사용자가 멀웨어를 실행하면 별다른 경고 문구나 제재 없이 맥에 쉽게 설치될 수 있습니다. 씨넷은 해당 멀웨어를 개발한 사람의 이름이 'Rajender Kumar'로 밝혀졌는데, 인도 영화 '발리우드'의 주인공 'Rajendra Kumar'와 비슷한 점을 들어 개발자의 본명이 아닐 수 있으며, 멀웨어를 보다 쉽게 확산하려는 의도로 애플 개발자 ID를 취득했을 수 있다고 말했습니다. 또 해당 멀웨어가 노르웨이 오슬로 자유 포럼 “Oslo Freedom Forum”에 참가 중인 한 아프리카 인권운동가가 사용하고 있는 맥에서 처음 발견된 것을 들어 무차별 살포가 아닌 특정인을 노린 것일 가능성도 있다고 언급했습니다.


* 이미지 출처: F-Secure

정상적인 개발자 ID로 만든 앱이라 할지라도 애플이 해당 애플 개발자 ID의 인가를 취소하면 게이트키퍼가 활성화된 모든 맥에서 해당 멀웨어의 실행이 일제히 중단됩니다. 다만, 애플이 조치를 취하기 전에 맥이 멀웨어에 감염되었는지 여부는 OS X 시스템 환경설정 > '사용자 및 그룹' > 로그인 항목에 'mac.app'이 등록되어 있는지로 확인할 수 있으며, 만에 하나 감염되어 있다면 신속하게 로그인 항목에서 제거한 다음 다운로드 폴더나 사용자 홈 폴더, 응용 프로그램 폴더에서 mac.app을 찾은 다음 삭제하시기 바랍니다.



참조
CNET - New Mac spyware found in the Oslo Freedom Forum, MacWorld

관련 글
• 휴대폰 소액결제 유도하는 '맥용' 악성 프로그램 발견
• 애플 맥 노린 플래시 트로이목마 위협 증가
• 애플, 마이크로소프트 윈도우 비스타의 보안과 검토를 도왔던 화이트해커를 고용
• 애플의 맥 앱스토어 '샌드박싱' 정책이란?

    
  1. Blog Icon
    SKY

    다행히 mac.app이 보이지를 않네요. 좋은 정보 감사드립니다. ^^

  2. Blog Icon
    iduMees

    안 보이네요. 감사합니다. :)

  3. Blog Icon
    옹퐁

    개발자 등록을 한 뒤에 멀웨어 배포라.. 짱구 좀 굴렸군요!

  4. Blog Icon
    sleeping

    와... 감사합니다 ㅠ 다행히 없네요;;

  5. 맥도 점점 위험해지는 추세인 만큼 윈도우만한 안티바이러스 제품군이 나와줘도 좋을 것 같은데요.. 아직 맥에서는 "만족스럽다"할만한 안티바이러스가 없어서 아쉽습니다.

  6. Blog Icon
    fway

    아직 만족스러운(?) 바이러스나 악성코드가 없기 때문 아닐까요?
    아직까지는 OS차원에서 잘 막아주고 있습니다.
    불필요한 안티바이러스 애플리케이션으로 시스템 자원을 잡아먹거나
    사용자의 시간을 할애할 필요가 없을 것 같습니다.

  7. 그래도 현재의 OS 차원은 한계가 있습니다. 특히 요즘은 평판이나 클라우드 기술로 실시간 대응을 하는데 '불필요한 안티바이러스'라고 보기엔 무리라고 봅니다.
    시스템 자원을 근거로 안티바이러스가 불필요하다면 귀찮으니 비밀번호 체계를 없애는 것과 다를 바가 없다고 생각합니다.

  8. Blog Icon
    견우

    다행이 안 보이는군요.....