‘맥 OS’ 노린 사이버 공격 포착…심리적 허점 노린 해킹 시도

치밀한 APT 공격 시도…맥북 이용 중인 외교·안보·대북 분야 인사들 각별한 주의 요구돼

해킹
/사진=pixabay

애플 컴퓨터 운영체제인 ‘맥 OS’ 사용자를 목표로 한 사이버 공격이 포착됐다. 다른 운영체제에 비해 상대적으로 안전하다는 인식이 있는 맥 OS 사용자들의 심리적 허점을 노린 해킹 시도로 보인다.

지니언스 시큐리티 센터는 20일 ‘한국 내 mac OS 이용자를 노린 APT37 공격 등장’ 보고서를 통해 “북한 연계 해킹 그룹으로 알려진 APT37의 새로운 사이버 위협 활동을 발견했다”면서 “한국 내 북한 인권 및 대북 분야에 종사 중인 특정 인물을 겨냥해 두 단계에 걸쳐 진행된 치밀한 APT(지능형 지속 위협) 공격”이라고 밝혔다.

APT37은 금성121, 스카크러프트, 레드 아이즈, 그룹123 등 다양한 이름으로 불리는 북한 연계 해킹 조직이다.

센터는 “(해커는) 우선 피해 대상자의 이메일 비밀번호 탈취를 위한 전형적인 1차 피싱 공격과 정찰 활동을 수행한 후, 이 과정에서 확인된 웹 브라우저 및 운영체제 정보를 활용해 맥 OS 기반 악성파일 공격을 수행했다”며 “공격을 받은 대상자는 복수로 확인됐으며, 주로 맥북을 사용 중인 것으로 확인됐다”고 했다.

맥 OS 기반의 스피어 피싱 공격 사례는 윈도(Windows)에 비해 상대적으로 매우 드문 편이다. 보통의 해커들은 사용자가 많은 윈도 운영체제를 노리지만 맥 OS 사용자가 많이 늘어나는 최근의 경향에 따라 공격 대상을 넓히고 있다. 이는 상대적으로 안전한 운영체제로 여겨지는 맥 OS 사용자들의 심리를 노린 것으로 풀이된다.

센터가 이번 보고서에서 밝힌 APT37의 수법은 최근 해커들이 주로 사용하는 압축파일, MS 원드라이브(OneDrive)를 이용하는 방식이다. 기존에 사용하던 LNK 확장자(윈도 바로가기) 파일 대신 맥 OS에서 사용하는 APP 확장자(.app) 파일을 사용했다는 점이 다르다.

우선 이메일 본문 내 맥 OS용 압축(ZIP)파일 다운로드 링크를 연결해 클릭을 유도한다. 다운로드 링크는 원드라이브나 특정 스마트폰 서비스처럼 위장한 허위 도메인과 연결돼 있는데, 이는 사용자가 해킹 시도라는 것을 눈치채지 못하게 하는 전형적인 수법이다.

다운로드 링크를 통해 내려받은 ZIP 파일에는 악성파일이 숨겨져 있다. 이 파일을 클릭해 열게 되면 악성코드가 실행되고 컴퓨터의 현재 날짜와 시간, 프로세스 리스트, 이용자 정보, 아이피 주소와 네트워크 구성 등 다양한 정보가 해커의 서버로 전송된다.

센터는 “맥 OS 기반의 북한발 위협이 갈수록 고급화될 것으로 예측된다”며 “한국에서 맥북을 이용 중인 다수의 외교·안보 및 대북 분야 인사들의 각별한 대비와 주의가 요구된다”고 당부했다.