본문 바로가기
악성코드 정보

2014년 MAC 악성코드의 특징

by DH, L@@ 2015. 1. 23.

 

  1. Mac OS X

얼마 전 Mac 의 운영체제인 OS X 요세미티(Yosemite)가 업데이트 되었고 아이폰 6는 여전히 큰 인기를 끌며 판매되고 있다. 이전에 음악, 디자인 등 예술계 종사자들 혹은 소수의 매니아들만 사용하던 애플사의 Mac 컴퓨터는, 아이팟과 아이폰의 성공에 힘입어 사용자 계층이 크게 확대되고 대중화되었으며, 이에 따라 OS X 악성코드 또한 증가하고 있는 추세이다.

다만, 다음 통계에서 확인할 수 있듯이, 국내의 OS X 점유율은 아직 10%가 채 안 되어, 국내에서는 비교적 파급력이 크지 않다.

 

[그림 1] 국내 OS 점유율 (출처: StatCounter)

 

그러나 과거 수년간 대형 보안사고 발생에 따른 피해가 점점 커지고, 보안의 중요성에 대한 인식이 확대되면서, 종전의 사용하던 시스템 기반을 리눅스나 맥 등으로 변경을 고려하는 기업과 기관들이 증가하고 있다. 현재 국내에는 맥과 관련된 백신 사용률이 매우 낮고 보급 속도 또한 더딘 상태라, 표적 공격에 매우 취약할 수 있기 때문에, 만약 사고가 나면 그 위험성과 피해는 예상보다 훨씬 클 수 있다. 따라서 당장 큰 위협은 없어 보여도, 이전과 같은 대형 보안 사고가 반복되기 전에, 미리 맥 관련된 악성코드에 대해 짚어둘 필요가 있다. WIL 의 지면을 통해 간략하게나마, 2014년에는 어떤 Mac 악성코드가 발견되었는지 살펴보자.

 

  2. 2014 Mac Malware

지난 2014년의 보안 이슈 키워드로는 '멀티 플랫폼, 금융, 취약점, 고도화' 등을 꼽을 수 있다. 윈도우뿐만 아니라 모바일, POS (Point of Sales), Mac 등 다양한 플랫폼을 공격하는 악성코드들이 발견되었고, 파밍을 비롯하여 메모리 해킹을 이용해 인터넷 뱅킹의 금융정보를 탈취하는 기술까지 다양했고 '하트블리드(Heartbleed)'나 '쉘쇼크(ShellSock)' 와 같은 오픈 소스 취약점도 연이어 공개가 되었다.

2014년에 발견된 Mac 악성코드들은, 물론 기술적인 차이는 있지만 그 형태가 윈도우 악성코드와 비교해서 크게 다르지 않다. 애플사도 과거와는 다르게 GateKeeper 와 같은 보안 기능을 추가하는 등, 마이크로소프트사와 마찬가지로 보안을 크게 염두에 두고 있다. 또한 현재 발견되는 맥 악성코드는 불법다운로드와 프로그램의 취약점, 피싱, 앱스토어 등을 주된 유포 경로로 삼아 감염되는데, 이 또한 윈도우의 사례와 유사하다.

 

GateKeeper

윈도우의 사용자 계정 컨트롤(UAC) 와 유사한 기능으로, 인터넷을 통해 다운로드한 앱이나 써드 파티(Third-party) 앱들로부터 Mac 을 보호하는 기능이다.

 

  (1) Cross Platform - Flashback & Icefog

2012년 발견된 Flashback 악성코드는 맥 사용자들에게는 유명한 악성코드이다. 이때만 해도 애플사는 Java를 기본 패키지로 맥 OS를 배포했는데, Flashback 악성코드는 바로 이 자바의 취약점(CVE-2012-0507, CVE-2011-3544) 을 통해 감염되었다. 이 악성코드는 약 60만대의 맥을 감염시킬 정도로 파급력이 컸기 때문에, 애플사는 Mac OS Lion (10.7) 버전 이후로 Java를 기본 패키지에서 제외했다. 해외 보안 업체 Intego의 통계에 따르면, Flashback 악성코드로 인한 피해는 2014년 초반까지도 계속되었다.

한편 악성코드의 C&C (Command-And-Control) 서버 문자열로 이름 붙여진 Icefog 악성코드는, 한국과 일본의 주요 기업과 기관 대상으로 한 소규모 APT(Advanced Persistent Threat) 악성코드로 당시 매우 위협적이었다. 본격적인 표적공격이라 할 수 있는 이 Icefog 악성코드는 Java의 취약점뿐만 아니라 HWP, Microsoft Office 등의 취약점을 이용하였다.

 

[그림 2] Flashback 악성코드

 

위의 두 악성코드는 Java의 취약점을 감염 경로로 이용했는데, 특히 Icefog 악성코드는 Java 뿐 아니라 다양한 프로그램의 취약점을 이용하여 윈도우와 OS X 플랫폼을 감염시켰다. 이른바 크로스 플랫폼(Cross platform) 공격인데, 하나의 취약점을 통해 다양한 플랫폼을 공격함으로써 피해자가 사용하는 플랫폼에 제약 없이 악성코드를 감염시키는 형태였다. 과거에 이어, 2014년 역시 이러한 크로스 플랫폼 공격 형태의 악성코드는 다양한 형태로 발견되었다.

 

  (2) RAT - LaoShu

2014년 1월에 발견된 LaoShu 악성코드는 피싱 메일을 통해 유포되었다. 이 메일은 유명 운송업체를 가장하고 다운로드 링크를 포함하여 사용자가 파일을 다운로드 하도록 유도하였다. PDF 아이콘으로 위장한 Laoshu 악성코드는 RAT (Remote Access Trojan) 악성코드로 분류되며, 다른 RAT 류의 악성코드와는 달리 사용자의 컴퓨터 정보, 인터넷 연결 정보, 데이터들을 탈취하는데 그 기능이 집중되어 있었다. 데이터 명의 확장자가 DOC, DOCX, XLS, XLSX, PPT and PPTX, ZIP 인 파일 정보를 탈취하였고 또 다른 파일을 다운로드 하여 스크린샷 이미지들 또한 탈취하였다.

[그림 3] (좌)유포된 이메일 전문 (출처: Sophos) / (우)스크린샷 이미지 전송 코드

 

이러한 RAT류의 악성코드들은 주로 APT(Advanced Persistent Threat) 형태로 특정 기업, 기관을 대상으로 배포, 감염되었지만, 2014년부터 대상 범위가 불특정 다수의 일반인들까지 확대되었다. 2014년에 발견되었던 뱅킹류의 악성코드에 CyberGate RAT, Gh0st RAT 등이 포함된 것이 그 예이다. LaoShu 악성코드도 주로 기업이나 기관을 대상으로 하던 기존과는 달리 일반인들을 대상으로 유포된 RAT류 악성코드의 대표적 예로, Mac 또한 윈도우와 그 흐름을 같이 하고 있다.

 

  (3) BitCoin – CoinThief

CoinThief, CoinStealer라 불리는 이 악성코드는 2014년 2월경 발견되었으며, 주 목적은 비트코인을 채굴하는 것이다. 온라인 가상 화폐의 일종인 '비트코인(Bitcoin)' 은 P2P(파일공유 시스템)를 기반으로 발행 및 거래가 이루어지는데, 이러한 비트코인의 가치가 상승하면서 이를 탈취하기 위해 Mac 에 배포된 것으로 보인다. 2014년 8월경 리눅스에서도 같은 형태의 악성코드가 Ssabobot, Bossabot 이라는 이름으로 발견되었다.

CoinThief 악성코드는 정상 애플리케이션으로 가장하여 유포되었다. 해킹으로 인해 2014년 3월에 파산한 Mt.Gox (당시 세계 최대 비트코인 거래소) 관련 애플리케이션과 유명한 게임인 'Angry Birds' 애플리케이션이 대표적이다. 또한 CoinThief 악성코드 종류 중에는 OS가 Windows인지 Mac인지 체크 후, 각 OS에 맞는 악성코드를 배포하여 감염시키기도 하였다.

 

[그림 4] (좌) Mt.Gox 를 위장한 윈도우 악성코드 실행화면 / (우) Angry Birds

 

Mt.Gox 사가 파산한 뒤, 얼마 전 세계 최대의 비트코인 거래소로 자리잡은 비트스탬프가 출금 거래를 중단했다. '거래 과정에서 문제가 감지되었다' 는 것이 그 이유인데, 이러한 불안함 속에서도 비트코인의 가치는 하락하지 않고 있다. 또한 2015년에도 인터넷 뱅킹, 모바일 뱅킹과 관련된 악성코드는 물론이며, 가상화폐 비트코인 관련 악성코드 또한 크게 증가할 것으로 보인다. 이에 Mac 또한 예외없이 이 악성코드에 대한 대비책이 있어야 할 것이다.

 

  (4) BotNet - Luaddit

iWorm이라는 이름으로도 알려진 Luaddit 악성코드는 2014년 9월 해외 보안업체 Dr. Web에 의해 발견되었다.

[그림 5] Luaddit (출처: Dr. Web)

 

Luaddit 악성코드는 일반적인 Trojan 악성코드와 유사하나, 감염된 Mac과 관련되어 확인된 IP 가 1만 7천여 개 이상이라는 것이 특이점이다. 이는 윈도우뿐만 아니라 Mac 에서도 대규모 Botnet에 감염될 수 있다는 것을 의미한다. 물론 Flashback 악성코드와 같은 Mac의 대규모 악성코드 감염 사례가 이미 있었지만, 이 Luaddit 악성코드는 윈도우와 마찬가지로 Mac 또한 악성코드로 인한 대규모 피해로부터 안전지대가 아니라는 것을 다시 한 번 확실히 보여주었다. 당시에 해당 악성코드는 애플사의 XProtect 에도 'iWorm'이라는 이름으로 업데이트되었고, 자사에서는 'Luaddit'로 진단이 가능하다.

 

  (5) Modular & Open Source - Ventir

2014년 10월에 발견된 Ventir는 다양한 기능이 모듈화된 악성코드로 확인되었다. 보통 악성코드들은 정보탈취, 원격제어 등 하나의 기능과 목적을 위해 제작되는 반면, Ventir 악성코드는 Dropper 파일 안에 키로거, 백도어, 이벤트 모니터 등의 기능들이 모두 모듈화되어 있었다. 아래 그림은 하나의 Dropper 안에서 각각의 기능을 수행하는 파일들의 위치를 보여준다.

 

[그림 6] 각 모듈의 파일 위치 (출처: Kaspersky)

 

Ventir 악성코드의 대표적 특징은 모듈들 중 오픈 소스가 사용된 점이다. 이러한 오픈 소스는 사용자들이 자유롭게 이용이 가능하며, Github 과 같은 사이트를 통한 코드 공유가 매우 편리하다. 위에서 언급한 Gh0st RAT 툴도 이러한 오픈 소스의 한 예로 볼 수 있다. 이러한 오픈 소스를 적극 활용한 악성코드 배포가 증가하게 되면, 상대적으로 악성코드로부터 안전하다고 여겨지는 Mac OS X 를 대상으로 한 새로운 악성코드 제작도 매우 쉬워진다. 따라서 이 악성코드는 그 자체로 끼치는 피해로만 그치는 것이 아니라, 다양한 악성코드 증가에도 큰 영향을 끼칠 것으로 보인다.

 

  (6) New Era - Wirelurker

가장 최근인 11월에 발견된 악성코드 Wirelurker 는 기존과 다른 새로운 형태의 악성코드였다. 윈도우가 아닌 OS X, iOS 만을 타깃으로 하여 제작되었고, 아래 그림과 같이 1. 사용자가 3rd 파티 앱스토어에서 악성코드를 다운로드 받아 설치를 하면, 2. 감염된 Mac 은 이미 감염되어 있는 악성앱을 다시 다운로드하고 USB 연결을 모니터링 한다. 3. 이후, 사용자가 아이폰을 Mac 컴퓨터와 연결했을 때 4. 악성앱이 아이폰에 설치된다.

 

[그림 7] iOS 감염 과정

 

중국에서 만든 것으로 추정되는 이 악성코드는, 기존의 정상앱 리패키징을 이용한 점, USB 연결을 통해 iOS 를 감염시킨 점, 그리고 탈옥하지 않은 스마트폰도 감염시킨다는 것이 특이점이다. 그리고 이러한 점은 과거에 발견되지 않은 형태로, 일반적으로 악성코드로부터 상당히 안전하다고 평가받는 iOS 도 안드로이드와 다름없이 위협하고 있다. 당시에 해당 악성코드로 인해 큰 피해가 발생한 것은 아니지만, OS X 와 iOS 시스템과 관련해 종전보다 한층 정교한 기술을 보여주기 때문에, 이후 나올 악성코드에 많은 영향을 끼칠 것으로 보인다.

 

 

  3. Conclusion

보통 맥 사용자들은 윈도우가 아닌 OS X를 사용한다는 이유 때문에 악성코드로부터 자유로울 수 있다고 생각할지 모른다. 물론 윈도우에 비해 맥 악성코드가 많지 않고 그 파급력 역시 현재는 크지 않기에 틀린 말은 아니다. 그러나2014년에 발견된 맥 관련 악성코드들을 살펴보면, Mac 역시 앞으로 악성코드의 위협에서 결코 자유로울 수 없다는 것을 확인할 수 있다.

위에서 언급했던 Mac 악성코드의 대표적 양상인 크로스 플랫폼 공격 형태는 2014년에 새로 등장한 게 아니라, 과거부터 현재까지 계속적으로 발견되어 온 형태의 악성코드다. 더 나아가 위에서 말했듯이 Wirelurker 악성코드처럼 기술적으로 수준이 높은 Mac의 OS만을 대상으로 한 악성코드 또한 이미 등장했다. 즉 OS X, iOS의 악성코드는 계속 진화하고 있으며, 그 속도는 점점 빨라진다는 것을 알 수 있다. 또한 RAT, Bitcoin, 오픈 소스 등을 이용한 악성코드를 통해 확인했듯이, Mac 악성코드 또한 사회적 흐름에 따라 파급 분야는 다양해지고, 기술적으로는 점점 체계화되고 정교해지고 있다.

 

이러한 악성코드 예방을 위해 최소한 아래 세 가지는 반드시 기억하도록 하자.

(1) 검증된 소프트웨어 다운로드 및 설치, 최신 업데이트

(2) 시작 시, 등록된 App 확인

 

[그림 8] (좌) 검증되지 않은 App 실행 / (우) 시작 시, 실행되는 App 설정


(3) 백신 소프트웨어 설치

 

[그림 9] 자사의 V3 for Mac

 

끝으로 윈도우든 Mac 이든 모든 기술은 완벽할 수 없다. 2015 년에는 핀테크, 사물인터넷 등 새로운 기술들이 우리 생활에 더 가까이 다가올 것이다. 그러나 국내 사용자들의 보안 인식과 패러다임을 바꾸지 않는다면 아무리 최고의 기술도, 편리한 기술도 보안 문제로 인해 자유롭게 사용할 수 없을지 모른다. 충분한 보안 인식을 토대로 했을 때에만, 사용자들은 새로운 기술을 완벽하게 누릴 수 있을 것이다.

 

V3 for Mac 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

OSX64-Trojan/Laoshu

OSX32-Dropper/Luaddit

OSX64-Trojan/Wirelurker 외 다수.

댓글