‘지니안 EDR’, 맥OS 기반 공격 탐지 기능 제공
[데이터넷] 우리나라 맥OS 사용자를 대상으로 한 APT 공격이 발견됐다. 사이버 위협으로부터 비교적 안전하다고 여겨지는 맥OS를 타깃으로 한 조직적인 위협으로, 사용자의 각별한 주의가 요구된다.
지니언스의 엔드포인트보안연구개발실이 발표한 보고서에 따르면 공격자는 5월 한 대학교에서 운영하는 연구소의 글로벌 아카데미 담당교수를 사칭해 특강을 요청하는 내용의 메일을 발송했다. 공격자가 사칭한 연구소에서는 웹사이트 공지를 통해 연구원 사칭 스피어피싱에 주의할 것을 당부하는 등 5월에 이와 같은 공격이 다수 발생했다.
스피어피싱에는 강의 장소, 주제와 강의료까지 적어 신뢰를 높였다. 피해자가 이 메일에 수락하는 회신을 보내면 공격자는 강의 개요서와 강사 카드를 전달하는데, 이 파일에 공격도구를 숨겼다. 공격자는 PDF 강의 의뢰서처럼 화면을 조작하고, 보안문서라는 상단 타이틀, 보안메일 보기 버튼 클릭 유도로 비밀번호 입력을 유도하고 구글 지메일 계정 정보를 탈취한다.
공격자는 마이크로소프트 원드라이브 API로 설정한 다운로드 링크, 특정 스마트폰 서비스로 위장한 허위 도메인을 사용했다.
공격도구를 숨기기 위해 이메일 본문 내 맥OS용 악성도구가 포함된 압축파일 다운로드 링크를 보냈다. 압축파일 내에 정상사진 파일 5개를 함께 보내 사용자가 의심하지 않도록 했다. 악성파일을 패키지화 하지 않고 애플리케이션 파일(.app)로 유포했다. 리소스 내 앱 아이콘 설정을 통해 HWP 한글문서로 보이게 했으며, 내부 리소스에 정상 HWP 문서를 띄워 정상문서처럼 보이게 했다.
보고서에서는 “우리나라에서 주요 공격 목표가 되는 사람들이 해킹 우려에서 벗어나기 위해 맥OS 기기를 사용하는 경향이 있지만, 이번 사례를 통해 맥OS도 안전하지 않다는 것이 드러났다. 공격자는 정상 문서·이미지와 공격도구를 함께 압축파일로 보내며, 공격도구도 확장자를 바꿔 시각적으로 정상 문서처럼 보이게 하기 때문”이라며 “맥OS 사용자들도 사이버 위협에 대한 각별한 주의를 필요로 한다”고 말했다.
한편 지니언스는 ‘지니안EDR’ 솔루션을 이용해 맥OS 기반 공격 대응이 가능하다고 설명했다. 지니안 EDR은 맥OS 실행 로그, 통신 이력, 이벤트 조회 등을 통해 알려지지 않은 공격까지 탐지하고 대응할 수 있게 한다.
