보안 / 프라이버시

“홍콩서 발견된 맥OS용 악성코드 대즐스파이, 웹킷 취약점 악용”

Roman Loyola  | Macworld 2022.01.27
보안업체 에셋(Eset)의 연구팀이 맥 컴퓨터를 감시할 수 있는 악성코드 ‘대즐스파이(DazzleSpy)’에 대한 조사 결과를 공개했다. 맥OS용 악성 소프트웨어인 대즐스파이는 홍콩의 민주주의와 관련한 웹사이트 방문 사용자를 감염시켰을 가능성이 높다. 
 
ⓒ Getty Images Bank

대즐스파이는 워터링 홀(Watering Hole) 공격 방법을 사용했다. 워터링 홀은 웹사이트를 통해 악성코드를 퍼뜨리는 방법으로, 사이버 공격자가 특정 그룹을 표적으로 할 때 사용하는 방식이다. 대즐스파이는 공통 취약점 및 노출 데이터베이스에 CVE-2021-30869로 문서화되었다. 애플은 지난 2021년 9월 맥OS 카탈리나 및 빅 서 업데이트에서 대즐스파이 취약점을 패치했다. 

지난 11월 구글 TAG(Threat Analysis Group)이 대즐스파이의 기술적 측면에 대한 연구 결과를 공개했으며, 에셋이 이번에 공개한 대즐스파이에 대한 보고서에는 대즐스파이가 맥 사용자의 컴퓨터에 침입한 방식이 자세하게 담겼다. 
 
에셋에 따르면, 대즐스파이는 홍콩의 민주화 운동을 지지하는 내용이 포함된 가짜 웹사이트를 통해 맥 사용자에게 처음으로 배포됐다. 그 후에는 홍콩의 인터넷 라디오 방송국 D100 라디오(D100 Radio)의 합법적인 홈페이지가 해킹돼 대즐스파이 배포에 활용됐다. 대즐스파이는 사용자의 맥OS의 버전을 검사하고 맥OS 버전이 10.15.2(카탈리나) 이상인 경우 익스플로잇을 설치한다. 대즐스파이가 설치되면 공격자는 감염된 맥에서 터미널 명령어 실행, 오디오 녹음, 키로깅, 화면 캡처와 같은 작업을 할 수 있다.
 
대즐스파이 배포에 사용된 가짜 웹사이트. 왼쪽 아래 상자에서 악성코드를 확인할 수 있다. ⓒ Eset

에셋의 연구원 마크 에티엔 M.레베예는 “대즐스파이 공격은 맥 사용자를 대상으로 했으며, 자원이 풍부하고 정부의 지원을 받는 단체에서 실시한 것으로 보인다. 패치하지 않은 시스템이 악성코드에 감염되면 관리자 권한부터 실행된다”라고 말했다. 대즐스파이 공격은 홍콩 활동가에게 국한됐지만, 맥 PC를 공격 목표로 삼은 해커가 백도어를 생성하고 악성코드를 확산하는 방법을 보여준다. 

대즐스파이에서 주목해야 할 점은 사파리를 구동하는 맥을 공격 목표로 삼았다는 것이다. 대즐스파이는 사파리에서 사용하는 브라우저 엔진인 웹킷의 취약점을 악용했다. 애플은 iOS와 아이패드OS의 웹킷 결함도 업데이트를 통해 수정했다. 소프트웨어 개발자가 수정사항을 발행한 후 보안 업체가 악성 프로그램에 대한 세부정보를 공개하는 것은 일반적인 관례다.


맥OS 업데이트하기

새로운 기능을 사용하기 위해 운영체제를 업데이트하는 경우가 많지만, 운영체제 업데이트에는 보안 패치도 포함되어 있다. 따라서 사용자는 가능한 한 빨리 새로운 업데이트를 설치해야 한다. 운영체제 업데이트는 인터넷에 연결되어 있으면 추가 비용 없이 설치할 수 있다. 설치 시 약 30분 정도의 시간이 소요되며, 맥을 다시 시작해야 한다. 맥OS 몬터레이와 빅 서를 업데이트하는 방법은 다음과 같다.
 
1. 맥에서 애플 메뉴 → 시스템 환경설정 선택
2. 소프트웨어 업데이트 클릭
3. 업데이트가 가능하면 설치 단추가 나타난다. 설치 단추를 클릭하면 맥이 업데이트를 다운로드하고 설치를 시작한다.

editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.