수개월 전, 맥 기반의 랜섬웨어를 배포한 바 있는 비트토렌트(BitTorrent) 클라이언트인 트랜스미션(Transmission)에서 또다시 맥 기반의 악성코드가 배포되는 것이 발견됐다.


Credit: Martyn Williams

보안업체 이셋(ESET)의 연구원들은 비밀번호를 훔칠 수 있는 OSX/키드냅(Keydnap)이라 부르는 악성코드를 추적해왔는데, 최근 트랜스미션의 공식 사이트를 통해 확산되고 있음을 알렸다.

이셋은 왜 그런지는 밝혀지지 않았지만 비트토렌트 클라이언트인 트랜스미션 2.92 버전이 악성코드를 포함하고 있다고 29일 블로그를 통해 밝혔다.

이셋에 따르면, 트랜스미션 측은 이미 이 버전의 다운로드를 삭제했다. 하지만 지난 28~29일 사이에 이 클라이언트를 다운로드받은 사용자들은 자신의 맥 컴퓨터가 해킹 당하지 않았는지 반드시 검사해야 한다.

게다가 키드냅 악성코드는 자격(credentials)을 훔치기 위해 백도어 프로그램의 기능을 갖고 있는데, 이는 해커가 파일 다운로드를 포함해 맥에서 원격 제어를 실행하는 것을 허용할 수 있다.

지난 7월, 이셋 측은 이 악성코드의 상세 내역을 공개했다. 그러나 이셋은 이것이 어떻게 확산된 것인지는 확정하지 못했다. 이셋은 스팸 메시지 내 첨부파일이나 신뢰할 수 없는 웹사이트로부터 다운로드, 혹은 그 밖에 다른 무언가에 의해 확산된 것으로 추정할 수 있다고 말했다.

이셋 측에 따르면, 트랜스미션은 이에 대해 즉각적인 대응을 하지 않았음에도 불구하고 개발자는 이번 문제에 대해 조사중이다. 올해 초, 비트토렌트 클라이언트에서는 키레인저(KeRanger)라 부르는 맥 기반의 랜섬웨어가 발견된 바 있다.

이셋은 이 두 개의 공격 간에는 유사점이 있다고 전했다. 악의적인 코드 블록이 트랜스미션 애플리케이션의 주요 기능에 추가됐다는 점이다. 키레인저처럼 키드냅 악성코드 또한 적법한 애플 개발자 인증이 등록된 트랜스미션 클라이언트를 통해 확산됐다. 이는 애플의 악성코드 탐지 기능인 게이트키퍼(Gatekeeper)를 우회하는 것을 도와준다.

트랜스미션이 왜 이 악성코드를 배포하고 있었는 지는 명확하지 않지만 이 사이트가 해킹 당했을 가능성을 배제할 수 없다. 이셋은 애플에게 해킹당한 개발자 인증에 대해 통지했으며 이셋의 보안 제품에서는 키드냅 악성코드를 탐지하고 제거할 수 있다. editor@itworld.co.kr