지난 3월 랜섬웨어가 발견돼 한 차례 홍역을 치른 '트랜스미션(Transmission)'에서 또다시 악성코드가 발견돼 해외유저들의 지탄을 받고 있습니다.
미 IT매체 맥루머스는 인기 비트토렌트 클라이언트인 트랜스미션에 악성코드가 숨어 있었다고 보도했습니다. 맥 사용자를 겨냥한 랜섬웨어가 발견된지 5개월 만에 또 다른 악성코드 감염 사실이 확인된 것입니다.
이 같은 사실은 유럽의 보안 전문업체인 'ESET'에 의해 처음 발견됐습니다.
ESET은 트랜스미션 공식 웹사이트에서 8월 29일에 배포된 트랜스미션 2.92 버전에서 치명적인 악성코드가 심겨 있었다며 트랜스미션 사용자들에게 각별한 주의를 당부했습니다. 맥이 'OSX/Keydnap'으로 명명된 이 멀웨어에 감염되면 익명의 토르 네트워크를 통해 C&C(Command & Control) 서버에 접속해 악의적인 명령을 수행하며, 이를 통해 데이터를 파괴하거나 키체인에 저장된 개인정보 유출 등의 피해를 초래할 수 있습니다.
이번에 발견된 악성코드가 특히 위험한 점은 앞서 발견된 랜섬웨어 'KeRanger'와 마찬가지로 적법한 디지털 서명을 포함하고 있어 맥 운영체제의 보안 기능인 '게이트키퍼(GateKeeper)에 의해 걸러지지 않는다는 점입니다. 즉, 트랜스미션을 설치하는 것만으로 사용자도 모르게 악성코드가 설치되고 작동할 수 있습니다. 또한 KeRanger와 작동 매커니즘이 거의 같아 5달 전처럼 랜섬웨어(중요파일을 암호화한 뒤 이를 푸는 대가로 금전을 요구하는 악성코드)로 작용할 가능성도 배제할 수 없습니다.
* Transmission 메인 기능에 드롭(drop)된 OSX/Keydnap 악성코드
이에 ESET 측은 애플은 물론 트랜스미션 개발진에도 악성코드 발견 사실을 통보했다고 밝혔습니다. 통보를 받은 트랜스미션 개발팀 역시 악성코드가 포함된 인스톨러를 29일 웹사이트에서 바로 제거했다고 공지했습니다. 다만, 이번 악성코드가 어떤 경로로 어떻게 유입되었는지는 명확히 알려지지 않고 있습니다. 트랜스미션 개발팀이 의도했든 그렇지 않든 결과적으로 또다시 악성코드를 배포하는 중개 역할을 한 셈입니다. 다행히 초기 대응으로 피해사례나 우려할 만한 일은 아직 보고되지 않았습니다.
According to the signature, the application bundle was signed on August 28th, 2016, but it seems to have been distributed only the next day. Thus, we advise anyone who downloaded Transmission v2.92 between August 28th and August 29th, 2016, inclusively, to verify if their system is compromised by testing the presence of any of the following file or directory:
∙ /Applications/Transmission.app/Contents/Resources/License.rtf
∙ /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
∙ ~/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
∙ ~/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
∙ ~/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
∙ ~/Library/LaunchAgents/com.geticloud.icloud.photo.plist
∙ /Library/Application Support/com.apple.iCloud.sync.daemon
만약 한국시각으로 8월 28일에서 30일 사이 트랜스미션 공식 웹사이트에서 2.92 버전을 받은 분이 있다면 설치 디스크 이름을 먼저 확인해 보시기 바랍니다. 악성코드가 심겨진 디스크 이미지 이름은 'Transmission2.92.dmg'이며, 악성코드가 제거된 디스크 이미지의 이름은 'Transmission-2.92.dmg'입니다. (설치 디스크 이름에 하이픈(-)이 포함돼 있습니다.) 만약 악성코드가 포함된 디스크 이미지를 내려받은 경우 추가적으로 응용 프로그램 폴더에 있는 트랜스미션 실행 파일과 함께 상기 경로에 해당 파일이 있는지 확인해야 합니다.
상기 경로에 파일이 하나라도 발견되면 맥이 악성코드에 감염된 것이므로 발견 즉시 삭제해야 합니다. 일부 파일은 마치 운영체제에 원래 포함된 파일인 것처럼 이름을 위장하고 있다는 점도 눈여겨 볼 부분입니다. (Finder에서command +shift + G 단축키를 이용하면 해당 파일을 쉽게 확인할 수 있습니다. 기본적인 조치를 취한 후 추가로 안티바이러스 프로그램을 실행하여 다른 악성코드가 있는지 검사해 보는 것도 좋은 방법입니다.
참조
• ESET Research - OSX/Keydnap spreads via signed Transmission application /via MacRumors
관련 글
• 애플 맥 사용자 목표로 한 첫 랜섬웨어 등장... 맥용 토렌트 클라이언트 'Transmission' 통해 유포
• 맥용 트랜스미션에서 발견된 'KeRanger' 랜섬웨어 감염여부 진단과 해결방법
• 랜섬웨어에 감염된 맥용 트랜스미션 다운로드 건수는 6,500회
• Tom's Guide 선정, 2016 베스트 맥용 안티바이러스 소프트웨어
