[보안뉴스 문가용 기자] 애플 생태계에서 새로운 멀웨어가 발견됐다. 원래 윈도 생태계에 있던 건데 맥OS용으로 재개발 된 것이라고 한다. 이 멀웨어의 이름은 엑스로더(XLoader)로, 폼북(FormBook)이라는 유명 멀웨어에서부터 발전되어 나온 것으로 분석되고 있다. 폼북은 약 5년 전부터 사이버 공간에서 활동하며 악명을 떨쳐왔으며 현재까지 전 세계 4%의 기업들에 피해를 준 것으로 집계되고 있다.
[이미지 = utoimage]
폼북은 원래 크리덴셜 탈취를 목적으로 만들어진 멀웨어로, 다양한 브라우저를 감염시켰다. 그러면서 스크린샷 수집, 키스트로크 로깅, 파일 다운로드 및 실행 기능까지 갖추게 되었다. 폼북은 여러 변종으로 존재하며, 현재도 버전과 종류에 따라 다양한 가격으로 팔린다. 다양한 가격이라고 하지만 30달러 전후의 저렴한 가격대가 형성되어 있다. 사이버 공격자들은 저렴한 폼북을 구매해 다양한 방식으로 개조하기 시작했다.
체크포인트의 보안 전문가 알렉스 챠일리트코(Alex Chailytko)는 “폼북의 진정한 가치를 몰랐던 건 원 개발자뿐이었던 것으로 보인다”라고 설명한다. “저렴하게 팔았을 뿐만 아니라 응용과 개발의 노력을 이어가지도 않았습니다. 오리지널 버전의 개발을 완료한 후 내다버린 것처럼 말이죠. 하지만 사이버 범죄자들이 그 가치를 알아봤습니다.”
원 개발자의 의도가 무엇이었는지 모르겠지만 폼북은 다른 사람들의 손을 타고 퍼져갔고, 2020년 2월 다크웹에 엑스로더라는 이름으로 새롭게 등장했다. 코드 베이스는 같았지만 이전 폼북과 다른 점을 많이 가지고 있었다. 그 중 하나가 맥OS 시스템에 대한 공격이 가능하다는 것이었다. 가격도 조금 올라 현재 49달러에 판매되고 있다.
현재 이 엑스로더 멀웨어는 악성 이메일의 첨부파일 형태로 피해자들 사이에서 전파되고 있다. 주로 MS 오피스 문서로 위장되어 있다. 피해자들이 다운로드 받아 여는 순간 감염 프로세스가 시작된다. 감염 후에는 크리덴셜과 스크린샷 수집, 키스트로크 로깅, 악성 파일 실행 등의 기능을 공격자들의 입맛에 따라 수행할 수 있다. 여기까지는 오리지널 폼북과 같다. 하지만 샌드박스 우회 및 C&C 숨김 기능이 더해졌다.
챠일리트코는 “자연스러운 흐름”이라고 이러한 변화에 대해 설명한다. 시대에 맞는 변화가 나타났다는 것이다. “폼북에서 가장 좋은 것들은 유지시켜 놓고, 최근 멀웨어들이 가지고 있는 신기술들을 탑재시킨 것이죠. 그럼으로써 강력함을 자랑하는 새로운 멀웨어가 나타난 것이고요.” 이 엑스로더가 폼북 원 개발자의 작품인지 아닌지는 확신할 수 없는 단계다. 다만 엑스로더와 폼북 개발자 사이의 연관성을 의심할 만한 작은 증거들이 조금씩 나오는 중이긴 하다.
“폼북과 엑스로더와 관련된 악성 활동들은 꾸준히 유지되고 있습니다. 2020년 12월 1일부터 2021년 6월 1일까지 6개월 동안 69개국에서 이 멀웨어와 관련된 트래픽이 발견됐을 정도입니다. 한편 피해자들의 절반 이상은 미국인들인 것으로 집계됐고요.”
엑스로더처럼 원래는 윈도 생태계에서 개발되었다가 맥OS 환경에서 작동하도록 다시 개발된 멀웨어가 점점 더 많이 나타나는 추세다. 원래는 멀웨어 개발자들 사이에서 맥OS는 관심 밖 대상이었다. 그러나 애플 장비의 인기가 계속해서 오르고 사용자가 많아지자 해커들의 관심도 높아졌다. 애플은 작년 한 해 동안 맥OS 장비들을 2천만 대 넘게 팔았다. 그 만큼 잠재적 공격 대상이 늘어났다는 뜻이다. 맥OS용 멀웨어 개발이 활발해졌다는 것이 이를 반증하기도 한다.
보안 업체 멀웨어바이츠(Malwarebytes)는 2020년 한 해 동안 벌어진 멀웨어 활동을 분석하면서 “맥OS 장비를 주력으로 사용하는 기업들은 앞으로 사이버 공격에 더 유의해야 할 것”이라고 경고했다. “애플 장비를 겨냥한 공격 수위가 높아지고 있기 때문”이다. 참고로 멀웨어바이츠의 분석 결과 기업 환경에서 윈도 멀웨어의 수는 24% 줄어들고, 맥OS 멀웨어는 31% 증가한 것으로 나타났다.
3줄 요약
1. 윈도 생태계를 5년 동안 공략 중인 유명 멀웨어 폼북.
2. 이 폼북이 맥OS용으로 다시 개발되어 나온 것이 엑스로더.
3. 맥OS 장비 판매량 늘어나면서 해커들의 관심도 높아지고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>