맥 시스템 포위: 악명 높은 아토믹 스틸러, 강력한 백도어 위협으로 진화
전 세계 수천 대의 맥(Mac) 컴퓨터 깊숙한 곳에서, 조용한 침입자가 전례 없는 권한을 획득했습니다. 2023년부터 사용자들을 괴롭혀 온 악명 높은 macOS 악성코드인 아토믹 스틸러(Atomic Stealer)가 극적인 변모를 거쳐, 보안 전문가들은 이를 애플 생태계에 "현재까지 가장 높은 수준의 위험"으로 평가하고 있습니다.
연구원들이 '아모스(AMOS)'라는 별명을 붙인 이 악성코드는 이제 소름 끼치는 새로운 기능을 갖추게 되었습니다. 단순히 데이터를 훔치던 데 그치지 않고, 재부팅 후에도 살아남아 원격 명령을 마음대로 실행할 수 있는 영구적인 백도어(backdoor)를 통해 시스템 전체를 장악하는 형태로 진화한 것입니다.
표: 아토믹 스틸러(AMOS) 악성코드의 macOS 내 작동 단계별 분석
| 단계 | 설명 | 주요 기술/특징 |
|---|---|---|
| 초기 감염 | 위장 소프트웨어 설치 파일, 크랙 앱 또는 스피어 피싱을 통해 악성코드 전달 | DMG 파일, 악성 광고(말버타이징), 피싱 이메일 |
| 사용자 기만 | 사용자를 속여 보안을 우회하고 악성 바이너리를 실행하도록 유도 | 위장 프롬프트, 터미널 명령, 비밀번호 요청 |
| 실행 및 권한 상승 | 설치 자동화 및 더 높은 권한 획득 시도 | 애플스크립트, 셸 스크립트, 비밀번호 수집 |
| 데이터 수집 | 시스템, 브라우저, 지갑, 문서에서 민감 데이터 수집 | 키체인 탈취, 브라우저 데이터, 암호화폐 지갑, 메모 |
| 데이터 유출 | 탈취한 데이터를 패키징하여 원격 공격자 서버로 전송 | ZIP 압축 파일, HTTP POST 요청, 고유 피해자 ID |
| 지속성 및 백도어 | 지속성 구성요소 설치 및 원격 공격자 제어 활성화 | 런치데이몬(LaunchDaemon), .helper 바이너리, .agent 스크립트 |
| 회피 및 정리 | 페이로드 난독화 및 데이터 유출 후 흔적 제거 | XOR 난독화, 위장 오류, 파일 삭제 |
"왕국의 열쇠": 아모스(AMOS)가 새로운 힘을 얻은 방법
독립 연구원 g0njxa가 7월 초 처음 발견하고 맥파우(MacPaw)의 사이버 보안 부문인 문록(Moonlock)이 이어서 확인한 이번 업그레이드된 위협은 macOS 위협 환경에서 심각한 수준의 고조를 나타냅니다.
문록의 분석에 따르면, "이번에 처음으로 [아토믹 스틸러]가 통합 백도어와 함께 배포되고 있다"고 합니다. 이러한 진화는 단기성 데이터 탈취에서 장기적인 시스템 침해로의 전략적 변화를 의미합니다.
이 악성코드는 이제 ".helper"라는 숨겨진 바이너리를 설치하며, 악성 코드가 지속적으로 실행되도록 하는 래퍼 스크립트도 함께 포함합니다. 더욱 충격적인 것은, 악성코드가 높은 권한을 부여받고 시스템 재시작 후에도 지속성을 유지할 수 있도록 런치데이몬(LaunchDaemon)을 생성한다는 점입니다. 이러한 기술은 최근까지 macOS 악성코드에서는 드물게 사용되던 방식이었습니다.
디지털 팬데믹: 전 세계적 확산과 표적 공격 양상
상대적으로 국지적인 위협으로 시작했던 것이 전 세계적인 문제로 확산되었습니다. 보안 원격 측정 데이터에 따르면 120개 이상의 국가에서 감염이 확인되었으며, 미국, 프랑스, 이탈리아, 영국, 캐나다가 공격의 직격탄을 맞았습니다.
유포 전략 또한 진화하여, 범죄 조직의 성숙도를 반영하고 있습니다. 초기 버전은 주로 크랙 소프트웨어를 통해 확산되었지만, 최근 캠페인에서는 정교한 이중 접근 방식을 보이고 있습니다.
현재 진행 중인 수사로 인해 익명을 요구한 한 고위 위협 분석가는 "우리는 고가치 개인을 대상으로 하는 스피어 피싱 캠페인으로의 뚜렷한 전환을 목격하고 있다"고 설명했습니다. 이어 "암호화폐 보유자와 프리랜서들이 특히 그들의 직업적 관심사에 맞춘 설득력 있는 유인책으로 표적 공격을 받고 있다"고 덧붙였습니다.
이러한 정밀 표적 공격은 공격자들이 피해자 선택에 있어 양보다는 질에 집중하며 더욱 선별적으로 접근하고 있음을 시사합니다.
데이터 탈취를 넘어: 전체 시스템 침해
이번 업그레이드를 차별화하는 것은 단순한 지속성뿐만 아니라 확장된 기능입니다. 이제 원격 명령 실행 기능이 내장되어 공격자들은 추가 악성코드를 배포하고, 키 입력을 기록하거나, 네트워크 내에서 측면 이동(lateral movement)을 할 수 있습니다.
이러한 위협에 정통한 한 사이버 보안 전문가는 "더 이상 단순히 비밀번호나 비트코인 지갑을 훔치는 문제만이 아니다"라고 경고했습니다. 그는 "일단 자리를 잡으면 백도어는 임의의 셸 명령을 실행할 수 있어, 사실상 당신의 맥을 원격 공격자들이 조종하는 꼭두각시로 만들 수 있다"고 말했습니다.
문자열 난독화, 페이로드 암호화, 보안 분석 환경에서의 실행 회피 확인 등 악성코드의 고급 회피 기술은 많은 기존 보안 도구를 무력화시켜 수천 대의 시스템이 잠재적으로 취약한 상태에 놓이게 합니다.
실리콘밸리의 새로운 보안 방정식
기술 투자자들에게 이번 사태는 사이버 보안 환경, 특히 애플 생태계에 집중하는 기업들에게 잠재적인 시장 변화를 시사합니다.
사이버 보안 주식 전문 시장 분석가는 "맥의 고유한 보안성이라는 신화가 정교한 위협이 발생할 때마다 서서히 무너지고 있다"고 지적했습니다. 그는 "전용 macOS 보호 솔루션을 제공하는 기업들은 기업 고객들이 보안 태세를 재평가함에 따라 상당한 성장을 이룰 수 있을 것"이라고 덧붙였습니다.
이번 위협은 여러 시장 움직임을 촉진할 수 있습니다:
- 이 분야의 순수 플레이 벤더(pure-play vendor)에 이득이 되는 전문 macOS 보안 솔루션에 대한 수요 증가
- 강력한 맥 보호를 제공하는 엔드포인트 탐지 및 대응(EDR) 공급업체의 성장 기회
- 기업 보안팀이 플랫폼의 보안 이점에 의문을 제기하기 시작할 경우 애플에 잠재적 역풍
방어 전략: 다층적 접근 방식
보호를 모색하는 기업과 개인에게 보안 전문가들은 여러 공격 벡터에 대응하는 다층 방어(defense-in-depth) 전략을 권고합니다:
첫째, 예방이 여전히 가장 강력한 방어책입니다. 애플의 게이트키퍼(Gatekeeper)를 활성화하여 앱스토어나 신뢰할 수 있는 개발자의 공증된 앱만 허용하는 것은 침투에 대한 중요한 장벽을 만듭니다. 기업의 경우, 모바일 기기 관리(MDM) 정책을 통해 서명되고 관리되는 소프트웨어만 설치하도록 제한할 수 있습니다.
포춘 500대 기업에 macOS 보안을 자문하는 한 컨설턴트는 "첫 번째 방어선은 여전히 사용자 행동에 달려 있다"고 강조했습니다. 그는 "누군가 크랙 소프트웨어를 다운로드하거나 피싱 링크를 클릭하는 순간, 많은 기술적 보호 조치가 무의미해질 수 있다"고 덧붙였습니다.
예방을 넘어 강력한 탐지 전략 또한 중요합니다. 보안팀은 홈 디렉터리 내 ".helper" 또는 ".agent" 파일, 그리고 "com.finder.helper"와 일치하는 런치데이몬 항목과 같은 특정 흔적(artifact)을 찾아야 합니다. 이는 침해의 명백한 징후이기 때문입니다.
투자자 관점: 시장 영향
전문 트레이더들에게 이처럼 진화하는 위협 환경은 위험과 기회를 동시에 제공합니다. 금융, 개발, 디자인과 같은 민감한 분야에서 맥 시스템을 광범위하게 사용하는 기업들은 보안 비용 증가와 잠재적인 운영 중단을 겪을 수 있습니다.
반대로, 사이버 보안 부문, 특히 애플 생태계 보호를 전문으로 하는 벤더들은 솔루션 수요 증가에 따라 가치 평가 조정(valuation adjustment)을 경험할 수 있습니다. 기업 지출이 이 특정 위협 벡터를 해결하는