전통적으로 ‘안전하다’고 인식되는 맥OS 생태계를 위협하는 새로운 멀웨어가 등장했다. 작년 하반기에 처음 발견된 것인데, 최근 업그레이드 된 변종이 나타난데다가 소스코드가 공개되기까지 했었다.
3줄 요약
1. 맥OS 생태계를 노리는 고급 정보 탈취형 멀웨어, 밴시스틸러.
2. 9월부터 11월까지는 업그레이드 통해 탐지도 되지 않음.
3. 11월에는 소스코드가 유출되는 바람에 앞으로 더 많은 변종 나올 듯.
[보안뉴스 문가용 기자] 맥OS 생태계를 위협하는 멀웨어 중에 밴시스틸러(Banshee Stealer)라는 것이 있다. 최근 보안 업체 체크포인트(Check Point)는 밴시스틸러의 새로운 버전을 추적하고 있으며, 2개월 게 탐지되지 않은 채 크리덴셜, 암호화폐 지갑과 관련된 정보 등을 훔치고 있음을 알아냈다고 한다. 그렇게까지 활개를 칠 수 있었던 건 이 멀웨어가 2개월 넘게 탐지되지 않아서라고 체크포인트는 강조한다.
[이미지 = gettyimagesbank]
“밴시멀웨어가 상당히 긴 기간 동안 각종 탐지 기술을 회피할 수 있었던 건 이번 버전이 애플의 보안 도구인 엑스프로텍트(XProtect)에서 가져온 문자열 암호화를 도입했기 때문입니다. 엑스프로텍트라는 정상 도구에서 나온 문자열이니, 각종 백신 시스템에서 악성코드를 보고도 악성으로 분류하지 않았던 것이죠.”
이런 밴시스틸러를 공격자들은 각종 피싱 사이트나 가짜 깃허브 리포지터리를 활용해 퍼트려 왔다고 체크포인트는 지적한다. “특히 크롬 브라우저나 텔레그램 메신저와 같은 인기 높은 소프트웨어의 설치파일을 사칭하는 방식으로 밴시스틸러를 유포했습니다. 설치파일을 출처 확인 없이 다운로드 받으려 했었다면 밴시스틸러에 감염됐을 가능성이 높습니다.”
또한 이번 새 버전의 주요한 특징은 러시아어를 사용하는 시스템도 공격하도록 변한 것이다. 이전 버전에서는 실질적인 공격을 시작하기 전 시스템 확인을 먼저 실시해 러시아어로 구성되어 있으면 공격을 중단했었다. “이로써 밴시스틸러의 공격 대상이 훨씬 많아지게 됐죠. 러시아어 구사자들이라고 해서 밴시스틸러로부터 안전하다고 할 수는 없게 됐습니다.”
맥OS 사용자들의 경계심 높여
하지만 ‘안심’을 ‘경계심’으로 바꿔야 할 건 그 누구보다 맥OS 사용자들이라고 체크포인트는 강조한다. “맥OS는 전 세계적으로 1억 명 이상의 사용자를 보유하고 있는 생태계입니다. 게다가 점점 더 많은 인기를 끌고 있어, 사용자가 빠르게 늘어나고 있기도 하지요. 맥OS는 다른 OS에 비해 비교적 안전하다는 인식이 만연한데, 그 말이 사실이라 하더라도 곧 ‘맥OS는 안전하다’는 뜻이 되는 건 아닙니다. 밴시스틸러와 같은 멀웨어의 등장이 그것을 증명하는데 아직도 많은 사용자들이 맥OS를 사용하는 것 자체만으로 보안 위협이 있을 수 없다고 여기고 있습니다.”
맥OS가 안전하다는 가정은 왜 존재하는 걸까? 여기에는 크게 두 가지 근본 이유가 존재한다.
1) 유닉스 기반 아키텍처를 보유하고 있다.
2) 시장 점유율이 윈도나 리눅스에 비해서 낮다.
이 때문에 범죄자들에게 큰 관심을 받지 못했고, 그래서 맥OS를 침해할 수 있는 악성코드가 활발히 개발되지 않았을 거라고 여겼다. “물론 이것이 과거에는 사실이었습니다. 하지만 더는 아닙니다.”
게다가 밴시스틸러가 단순히 ‘세상에 멀웨어가 하나 더 늘어났다’는 정도의 위협이 아니라는 점에서도 맥OS 사용자들은 경계심을 높여야 한다고 체크포인트는 짚는다. “밴시스틸러의 진짜 무서운 점은 정상적인 시스템 프로세스와 완벽히 섞여서 악성 행위를 실시한다는 겁니다. 그렇기 때문에 좀처럼 탐지되지 않습니다. 탐지되지 않은 채로 크라덴셜과 암호화폐 지갑, 비밀번호, 민감한 파일 등을 훔치죠. 민감 정보를 훔치는 멀웨어들은 세상에 많습니다만, 밴시스틸러처럼 맥OS에서 들키지 않은 채 훔치는 사례는 극히 드뭅니다. 숙련된 IT 전문가들조차 밴시스틸러를 알아채기 힘들 정도입니다.”
밴시스틸러의 등장과 그 이후
밴시스틸러라는 게 처음 세상에 공개된 건 2024년 중반의 일이다. XSS나 익스플로잇(Exploit)과 같은 다크웹 해킹 포럼과 텔레그램에서 광고되기 시작하면서였다. 당시 밴시스틸러의 운영자들은 ‘서비스형 스틸러(Sealer-as-a-Service, SaaS)’ 형태로 밴시스틸러를 대여하고 있었다. 가격은 약 3천 달러.
그러다가 9월, 체크포인트가 그 동안 탐지된 적이 없는 새로운 밴시스틸러를 발견한 것이다. “애플의 엑스프로텍트 엔진에서 문자열 암호화 알고리즘을 도용해 원래 버전의 평문 문자열을 대체했다는 중요한 특징을 가지고 있던 버전이었습니다. 엑스프로텍트의 문자열을 악성으로 구분할 보안 솔루션은 많지 않고, 실제로 밴시스틸러는 2개월 넘게 각종 탐지 기술을 회피할 수 있었습니다.”
2개월이 지나고 나서는 밴시스틸러도 결국 탐지되기 시작했을까? 탐지가 되느냐 마느냐 보다 더 중요한 사건이 터졌다. 밴시스틸러의 소스코드가 공개된 것이다. “XSS라는 다크웹 포럼에 갑자기 밴시스틸러의 소스코드가 유출됐습니다. 이로 인해 밴시스틸러가 어떻게 작동하는지, 어떤 내부 구조를 가지고 있는지가 드러났습니다. 보안 솔루션들도 밴시스틸러를 이전보다 잘 탐지하게 됐는데, 반대로 더 많은 변종들이 등장할 가능성이 높아졌습니다.”
그래서?
애플의 노트북과 데스크톱이라고 해서 윈도나 안드로이드 기반 장비들보다 안전한 건 아니다. 비교선상에서 우위에 있음은 분명하지만, 밴시스틸러가 보여주듯 그 격차는 계속해서 좁혀지고 있다. 윈도와 안드로이드에서 있었던 공격은 맥OS에서도 금방 나타난다.
또 하나 눈여겨봐야 할 건 밴시스틸러의 소스코드가 공개됐다는 것이다. 악명 높은 미라이(Mirai) 봇넷도 소스코드 유출 이후 각종 변종들이 출몰했었고, 거의 10년이 지난 지금까지 그 현상이 이어지고 있다는 것만 봐도 밴시스틸러의 미래를 점쳐볼 수 있다. 그 과정에서 일부 버전이 다른 OS용으로 포팅될 수도 있지만 대부분은 원본이 그러하듯 맥OS를 노릴 것이다. 맥OS 생태계 보호가 더 강력해져야 하는 이유다.
체크포인트는 “공격자들은 빠르게 진화하고 있는데, 방어자들은 항상 한 걸음 뒤쳐져 있었다”며 “일반인들 사이에서의 보안 인식은 그것보다도 훨씬 늦는 게 보통”이라고 지적한다. “결국 해커와 보안의 싸움은 누가 더 잘 하냐가 아니라 누가 더 잘 변하냐의 싸움이 되어가고 있습니다. 고급 정보 탈취형 멀웨어가 맥OS 생태계에도 등장했고, 거기에 더해 소스코드까지 유출되었다는 점을 심각하게 인지해야 할 것입니다.”
애플과 구글의 제품에서 보안성 차이가 나타나는 이유와 밴시스틸러의 기본적인 작동 방식의 상세한 추가 내용은 1월 16일에 발행되는 프리미엄 리포트를 통해 공개됩니다.
[국제부 문가용 기자(globoan@boannews.com)]
3줄 요약
1. 맥OS 생태계를 노리는 고급 정보 탈취형 멀웨어, 밴시스틸러.
2. 9월부터 11월까지는 업그레이드 통해 탐지도 되지 않음.
3. 11월에는 소스코드가 유출되는 바람에 앞으로 더 많은 변종 나올 듯.
[보안뉴스 문가용 기자] 맥OS 생태계를 위협하는 멀웨어 중에 밴시스틸러(Banshee Stealer)라는 것이 있다. 최근 보안 업체 체크포인트(Check Point)는 밴시스틸러의 새로운 버전을 추적하고 있으며, 2개월 게 탐지되지 않은 채 크리덴셜, 암호화폐 지갑과 관련된 정보 등을 훔치고 있음을 알아냈다고 한다. 그렇게까지 활개를 칠 수 있었던 건 이 멀웨어가 2개월 넘게 탐지되지 않아서라고 체크포인트는 강조한다.
[이미지 = gettyimagesbank]
“밴시멀웨어가 상당히 긴 기간 동안 각종 탐지 기술을 회피할 수 있었던 건 이번 버전이 애플의 보안 도구인 엑스프로텍트(XProtect)에서 가져온 문자열 암호화를 도입했기 때문입니다. 엑스프로텍트라는 정상 도구에서 나온 문자열이니, 각종 백신 시스템에서 악성코드를 보고도 악성으로 분류하지 않았던 것이죠.”
이런 밴시스틸러를 공격자들은 각종 피싱 사이트나 가짜 깃허브 리포지터리를 활용해 퍼트려 왔다고 체크포인트는 지적한다. “특히 크롬 브라우저나 텔레그램 메신저와 같은 인기 높은 소프트웨어의 설치파일을 사칭하는 방식으로 밴시스틸러를 유포했습니다. 설치파일을 출처 확인 없이 다운로드 받으려 했었다면 밴시스틸러에 감염됐을 가능성이 높습니다.”
또한 이번 새 버전의 주요한 특징은 러시아어를 사용하는 시스템도 공격하도록 변한 것이다. 이전 버전에서는 실질적인 공격을 시작하기 전 시스템 확인을 먼저 실시해 러시아어로 구성되어 있으면 공격을 중단했었다. “이로써 밴시스틸러의 공격 대상이 훨씬 많아지게 됐죠. 러시아어 구사자들이라고 해서 밴시스틸러로부터 안전하다고 할 수는 없게 됐습니다.”
맥OS 사용자들의 경계심 높여
하지만 ‘안심’을 ‘경계심’으로 바꿔야 할 건 그 누구보다 맥OS 사용자들이라고 체크포인트는 강조한다. “맥OS는 전 세계적으로 1억 명 이상의 사용자를 보유하고 있는 생태계입니다. 게다가 점점 더 많은 인기를 끌고 있어, 사용자가 빠르게 늘어나고 있기도 하지요. 맥OS는 다른 OS에 비해 비교적 안전하다는 인식이 만연한데, 그 말이 사실이라 하더라도 곧 ‘맥OS는 안전하다’는 뜻이 되는 건 아닙니다. 밴시스틸러와 같은 멀웨어의 등장이 그것을 증명하는데 아직도 많은 사용자들이 맥OS를 사용하는 것 자체만으로 보안 위협이 있을 수 없다고 여기고 있습니다.”
맥OS가 안전하다는 가정은 왜 존재하는 걸까? 여기에는 크게 두 가지 근본 이유가 존재한다.
1) 유닉스 기반 아키텍처를 보유하고 있다.
2) 시장 점유율이 윈도나 리눅스에 비해서 낮다.
이 때문에 범죄자들에게 큰 관심을 받지 못했고, 그래서 맥OS를 침해할 수 있는 악성코드가 활발히 개발되지 않았을 거라고 여겼다. “물론 이것이 과거에는 사실이었습니다. 하지만 더는 아닙니다.”
게다가 밴시스틸러가 단순히 ‘세상에 멀웨어가 하나 더 늘어났다’는 정도의 위협이 아니라는 점에서도 맥OS 사용자들은 경계심을 높여야 한다고 체크포인트는 짚는다. “밴시스틸러의 진짜 무서운 점은 정상적인 시스템 프로세스와 완벽히 섞여서 악성 행위를 실시한다는 겁니다. 그렇기 때문에 좀처럼 탐지되지 않습니다. 탐지되지 않은 채로 크라덴셜과 암호화폐 지갑, 비밀번호, 민감한 파일 등을 훔치죠. 민감 정보를 훔치는 멀웨어들은 세상에 많습니다만, 밴시스틸러처럼 맥OS에서 들키지 않은 채 훔치는 사례는 극히 드뭅니다. 숙련된 IT 전문가들조차 밴시스틸러를 알아채기 힘들 정도입니다.”
밴시스틸러의 등장과 그 이후
밴시스틸러라는 게 처음 세상에 공개된 건 2024년 중반의 일이다. XSS나 익스플로잇(Exploit)과 같은 다크웹 해킹 포럼과 텔레그램에서 광고되기 시작하면서였다. 당시 밴시스틸러의 운영자들은 ‘서비스형 스틸러(Sealer-as-a-Service, SaaS)’ 형태로 밴시스틸러를 대여하고 있었다. 가격은 약 3천 달러.
그러다가 9월, 체크포인트가 그 동안 탐지된 적이 없는 새로운 밴시스틸러를 발견한 것이다. “애플의 엑스프로텍트 엔진에서 문자열 암호화 알고리즘을 도용해 원래 버전의 평문 문자열을 대체했다는 중요한 특징을 가지고 있던 버전이었습니다. 엑스프로텍트의 문자열을 악성으로 구분할 보안 솔루션은 많지 않고, 실제로 밴시스틸러는 2개월 넘게 각종 탐지 기술을 회피할 수 있었습니다.”
2개월이 지나고 나서는 밴시스틸러도 결국 탐지되기 시작했을까? 탐지가 되느냐 마느냐 보다 더 중요한 사건이 터졌다. 밴시스틸러의 소스코드가 공개된 것이다. “XSS라는 다크웹 포럼에 갑자기 밴시스틸러의 소스코드가 유출됐습니다. 이로 인해 밴시스틸러가 어떻게 작동하는지, 어떤 내부 구조를 가지고 있는지가 드러났습니다. 보안 솔루션들도 밴시스틸러를 이전보다 잘 탐지하게 됐는데, 반대로 더 많은 변종들이 등장할 가능성이 높아졌습니다.”
그래서?
애플의 노트북과 데스크톱이라고 해서 윈도나 안드로이드 기반 장비들보다 안전한 건 아니다. 비교선상에서 우위에 있음은 분명하지만, 밴시스틸러가 보여주듯 그 격차는 계속해서 좁혀지고 있다. 윈도와 안드로이드에서 있었던 공격은 맥OS에서도 금방 나타난다.
또 하나 눈여겨봐야 할 건 밴시스틸러의 소스코드가 공개됐다는 것이다. 악명 높은 미라이(Mirai) 봇넷도 소스코드 유출 이후 각종 변종들이 출몰했었고, 거의 10년이 지난 지금까지 그 현상이 이어지고 있다는 것만 봐도 밴시스틸러의 미래를 점쳐볼 수 있다. 그 과정에서 일부 버전이 다른 OS용으로 포팅될 수도 있지만 대부분은 원본이 그러하듯 맥OS를 노릴 것이다. 맥OS 생태계 보호가 더 강력해져야 하는 이유다.
체크포인트는 “공격자들은 빠르게 진화하고 있는데, 방어자들은 항상 한 걸음 뒤쳐져 있었다”며 “일반인들 사이에서의 보안 인식은 그것보다도 훨씬 늦는 게 보통”이라고 지적한다. “결국 해커와 보안의 싸움은 누가 더 잘 하냐가 아니라 누가 더 잘 변하냐의 싸움이 되어가고 있습니다. 고급 정보 탈취형 멀웨어가 맥OS 생태계에도 등장했고, 거기에 더해 소스코드까지 유출되었다는 점을 심각하게 인지해야 할 것입니다.”
애플과 구글의 제품에서 보안성 차이가 나타나는 이유와 밴시스틸러의 기본적인 작동 방식의 상세한 추가 내용은 1월 16일에 발행되는 프리미엄 리포트를 통해 공개됩니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
