맥 멀웨어는 윈도 멀웨어보다 비교적 적었다. 그러나 최근 몇 년간 애플 PC를 겨냥한 위협이 주류가 되었다. 맥 제품을 겨냥하기 위해 제작된 애드웨어와 랜섬웨어가 존재하며, 해커는 항상 애플의 최신 보안 조치를 피했다. 이제 여러 해커가 2020년 11월에 출시된 맥북프로와 맥북에어, 맥 미니에 장착된 애플의 신형 ARM 기반 M1 프로세서를 겨냥한 멀웨어를 유포했다.
애플의 M1 칩은 애플이 2005년부터 사용한 인텔 x86 사용을 중단한다는 사실을 의미하며, 애플이 자체 프로세서에 직접 특수 맥 보안 조치와 기능을 만들 기회를 주었다. 인텔 칩에서 자체 제작 칩으로의 변화와 함께 합법적인 개발자가 애플의 에뮬레이터 로제타 2에서 변환되는 것 대신 M1에서 처음부터 최적의 성능으로 실행되는 자체 소프트웨어 버전을 다양하게 개발해야 했다. 멀웨어 개발 세력도 이에 뒤처지지 않기 위해 M1 프로세서에 최적화된 악성 프로그램 제작에 나섰다.
2월 17일(현지 시각), 오랫동안 맥 보안 연구원으로 활동한 패트릭 와들(Patrick Wardle)이 초기에 인텔 x86 칩 버전으로 제작되었으나 이제 M1 버전으로 재개발된 사파리 애드웨어 확장판을 발견했다는 글을 게재했다. 고서치22(GoSearch22)라는 이름으로 알려진 악성 프로그램 확장판은 악명 높은 피릿 맥 애드웨어(Pirrit Mac adware)의 변종이다.
오픈소스 맥 보안 툴 개발 작업도 하는 와들 연구원은 “고서치22는 멀웨어 개발 세력이 진화하면서 애플의 최신 하드웨어와 소프트웨어에 계속 적응하고 있다는 사실을 보여준다. 현재까지 알고 있는 바를 종합해보면, 고서치22는 최초의 M1 프로세서 버전 멀웨어이다”라고 말했다.
애플의 M1 칩이 미래 맥 프로세서라는 사실을 고려했을 때, 멀웨어 개발 세력이 결국 M1 프로세서를 장착한 기기를 노리는 악성 코드를 작성하는 행위가 발생할 수밖에 없다. 2020년 12월 말, 애플의 M1 프로세서가 탑재된 제품이 출하되고 얼마 지나지 않은 시점에 누군가가 바이러스 방지 테스트 플랫폼 바이러스토탈(VirusTotal)에 M1 프로세서용으로 제작된 애드웨어를 업로드했다. 수많은 연구원과 기관이 일상적으로 바이러스토탈에 자동으로 혹은 당연하게 멀웨어 샘플을 등록했다. 와들이 바이러스토탈에서 발견한 멀웨어 샘플은 정통한 사파리 브라우저 확장판으로 위장하고, 사용자 데이터를 수집한 뒤 악성 사이트 링크를 포함한 배너와 팝업 등으로 불법 광고를 게재한다.
애플은 M1 프로세서 버전 멀웨어 발견과 관련해 답변을 거부했다. 와들은 11월 23일에 애플이 계속 맥 개발자와 iOS 개발자를 추적하도록 하는 유료 계정인 애플 개발자 ID로 애드웨어를 등록한 사실을 확인했다. 이후, 애플은 고서치22 인증을 폐지했다.
멀웨어바이츠(Malwarebytes)의 맥 보안 연구원인 토마스 리드(Thomas Reed)는 애드웨어 자체가 신종 악성 프로그램이 아니라는 와들의 평가에 동의한다. 그러나 리드는 보안 연구원이 M1 전용 멀웨어가 이제 막 등장한 것이 아니라 이미 존재한다는 사실을 인지하는 것이 중요하다고 덧붙여 주장했다.
리드는 “M1 전용 멀웨어 발생은 불가피했다. M1 버전 멀웨어를 위해 컴파일하는 것은 프로젝트 설정을 갑자기 변경하는 것만큼 쉽다. 그리고, 솔직하게 말하자면, 처음에는 고서치22가 피릿에서 변종됐다는 사실에 놀랐다. 피릿은 가장 활성화되었으면서 가장 오래된 맥 애드웨어 유형 중 하나이다. 그리고, 보안 감지를 피하기 위해 계속 변형된다”라고 설명했다.
고서치22는 디버깅 툴을 피하는 논리를 포함한 몇 가지 분석 방지 기능을 지니고 있다. 그러나 와들은 바이러스토탈의 안티바이러스 스캐너가 x86 기반 애드웨어를 악성 프로그램으로 쉽게 감지하지만, M1 버전 애드웨어 감지율은 고작 15%밖에 되지 않는다는 사실을 확인했다.
와들은 “안티바이러스 엔진과 같은 특정 방지 툴은 신종 변형 파일 포맷을 처리하는 데 어려움을 겪는다. 따라서 기존의 인텔 x86 버전 애드웨어는 쉽게 감지해도 ARM 기반 M1 버전 애드웨어는 감지하지 못한다. 코드가 논리적으로 일치하더라도 마찬가지이다”라고 설명했다.
레드 카나리 소속 연구팀도 바이러스 방지 및 다른 감시 툴이 새로운 유형의 멀웨어의 서명 혹은 디지털 지문 수집 때문에 새로운 멀웨어 감지가 종종 지연된다고 강조한다.
레드카나리 정보 애널리스트 토니 램버트(Tony Lambert)는 “멀웨어가 인텔 x86 버전에서 M1 버전으로 빠르게 전환되는 것이 우려스럽다. 보안 툴이 그에 대비가 되지 않은 상황이기 때문이다. 보안계는 과거, M1 버전 멀웨어를 발견한 적이 없어, 이를 감지할 서명을 지니고 있지 않다”라고 설명했다.
램버트는 M1과 같은 추가 감지 능력을 두는 것이 섬세한 과정이라고 말한다.
그는 “M1은 등장한 지 불과 몇 달이 지났으며, 고객 시스템에 침입할 툴을 지닐 여유가 없기 때문에 보안 공급사는 신중하게 소프트웨어를 개발해야 한다. 또, 보안 공급사는 종종 소프트웨어가 새로운 기술 변화를 통과할 기록을 지닐 때까지 뒤처지는 모습을 보인다”라고 말했다.
현재, 여러 전문가가 발견한 M1 버전 멀웨어는 그 자체로 매우 치명적인 수준으로 위험하지는 않은 듯하다. 그러나 새로운 변종 멀웨어 등장 사실은 향후 또 다른 멀웨어가 등장할 수 있다는 경고이다. 또, 감지 툴이 새로운 멀웨어 등장과 감지 능력의 격차를 줄일 준비를 해야 한다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202102/2946_3934_70.jpg)
뉴스레터 신청