본문 바로가기

security/보안 뉴스

[Sophos] 애플 맥 맬웨어: 짧은 역사(1982-2010)

 

원본링크 : http://www.securitytrust.co.kr/bbs/view.asp?tName=tb_sophosnews&RecID=9700

애플 맥 맬웨어: 짧은 역사(1982-2010)

최근에 맥 OS X 플랫폼에 자리잡는 맬웨어 위협에 대해 언론에서 많은 논쟁이 있었습니다. 그것은 분명히 양쪽 입장이 확고한 감정을 자극하는 주제입니다.

그 논쟁을 일부 뒷받침하기 위해, 여기 애플 컴퓨터를 감염시킨 것으로 알려진 몇 가지 맬웨어에 대한 간단한 개요가 있습니다. 1980년대 초부터 지금까지, 애플 맥 맬웨어의 역사에 있어서의 하이라이트가 여기 있습니다.

맥 바이러스 타임라인

1982

애플 컴퓨터들을 공격한 첫 번째 바이러스는 매킨토시를 위해 만들어진 것은 아니지만 그럼에도 불구하고 역사적인 이해 관계가 있었습니다. (그 우상화되는 컴퓨터는 1984년까지는 나타날 예정이 아니었습니다.)

1982년에 리치 스크렌타(Rich Skrenta)라는 15세 학생이 애플II 컴퓨터들의 부트 섹터를 감염시키는 Elk Cloner바이러스를 만들었습니다.

모든 50번째 부트섹터에 Elk Cloner 바이러스는 짧은 시를 표시하였습니다.

Elk Cloner: The program with a personality(개성있는 프로그램)
It will get on all your disks(그것은 여러분 디스크의 모든 것을 가질 거야.)
It will infiltrate your chips(그것은 여러분 컴퓨터의 칩에 침투할거야.)
Yes, it's Cloner!(그래, 그것이 Cloner야!)

It will stick to you like glue(그것은 껌처럼 여러분 곁에 붙어 있을 거야.)
It will modify RAM too(그것은 RAM도 역시 수정할거야.)
Send in the Cloner! (Cloner로 보내라)

몇몇 애플 팬들을 놀라게 한 것은 Elk Cloner 부트 섹터 바이러스가 IBM PC보다 몇 년 까지 먼저 나타난 것입니다.

1987
nVIR 바이러스가 플로피디스크에 의해 주로 퍼져나가면서 매킨토시 컴퓨터들을 감염하기 시작했습니다. 소스코드는 다수의 변종들 때문에 나중에야 만들어지게 되었습니다.

1988
애플 맥 OS 초기 버전에서 작동할 수 있는 HyperCard 바이러스가 생겨났습니다. 한 HyperCard 바이러스는 자동 파괴되기 전에 'Dukakis for President'라는 메시지를 보여주었습니다.

1990
맥에서 어플리케이션과 시스템 파일을 감염시키는 MDEF 바이러스(aka Garfield)가 생겨났습니다.

1995
마이크로소프트가 실수로 CD-ROM에 첫 번째 워드 매크로 바이러스인 Concept을 싣게 되었습니다. 이 바이러스는 맥과 PC를 모두 감염시켰습니다. 수천 개의 매크로 바이러스가 나타났는데 맥용 마이크로소프트 오피스에 많은 피해를 주었습니다.

1996.
첫 번째 엑셀 바이러스인 Laroux가 발표되었습니다. 맥 유저들이 맥용 엑셀 98이 출시되기 전에 이 새로운 기질의 매크로 바이러스에 피해를 입지 않았다는 것은 그들이 희생자가 될 수 있었음을 의미합니다.

1998
그 다음 심각한 맥 맬웨어 발생이 처음으로 발견된 때는 1998년 홍콩에서입니다. AutoStart 9805라는 별명을 가진 이 웜은 퀵타임 2.5이상의 CD-ROM 자동 실행 기능을 이용하여 이동형 매체를 통해 데스크톱 출판계에서 급속도로 퍼져나갔습니다.

MacVirus(블로그)의 데이비드 할리(David Harley)는 나에게 자동실행(Autostart)에 대한 보고서가 아시아에서 전세계 다른 나라까지 퍼졌을 때 관심을 가지고 지켜본 것을 기억한다고 말합니다.

같은 해, 666으로도 알려진 Sevendust 바이러스가 애플 맥 컴퓨터의 어플리케이션을 감염시켰습니다.

그러나, 맥 OS X의 출시로 맥 맬웨어계에 큰 변화가 가까워졌습니다. 이 완전히 새로운 OS는 수많은 이전 맬웨어가 더 이상 작동하지 못하게 된 것을 의미할지도 모릅니다. 향후에, 맥 전용 맬웨어는 새로운 OS로 작성되어야만 할 것입니다.

2004
Renepo 스크립트 웜은 맥 OS X 보안기능을 해제시켜서, 공격한 컴퓨터에 하이잭킹 툴을 다운로드하여 범인들에게 애플 매킨토시에 대한 관리자 권한을 부여하였습니다.

또 해커들은 Amphimix라 불리는 기술검증(POC) 프로그램을 만들었는데 이는 어떻게 실행 코드가 애플 맥에 있는 MP3 음악파일로 위장하는지를 보여주었습니다.

2006
Mac OS X용 첫번째 바이러스Leap-A가 발견되었습니다. Leap-A는 iChat을 통해 퍼져나갈 수 있습니다.

Inqtana 웜과 POC 바이러스가 곧 등장하였습니다.

Xcode로 작성된 Macarena라는 엉성한 POC 바이러스가 나타났습니다. 모든 감염된 파일에는 다음과 같은 구절이 포함되어 있었습니다.

'MachoMan - roy g biv'
그리고,
'26/10/06'

2007
소포스는 윈도우즈, 리눅스 및 맥에서 작동할 수 있는 OpenOffice 멀티 플랫폼 매크로 웜을 발견하였습니다.

BadBunny 웜은 맥 OS X 시스템에 Ruby 스크립트 바이러스를 만들고, 토끼 복장을 입은 남자의 JPEG이미지를 보여줍니다.

맥용 첫 번째 파이낸셜 맬웨어가 발견되었습니다. 그 공격의 배후에 있는 범죄집단은 OSX/RSPlug-A 트로이목마의 윈도우즈 및 맥 버전 모두를 개발하였습니다.

 

그 트로이목마는 사용자들이 포르노 비디오를 볼 수 있게 하는 코덱인 것처럼 속이지만 사실은 DNS 서버 입력값을 바꾸어 그들을 부지불식간에 다른 웹사이트로 이동 시켜버립니다.

2008
사이버범죄자들은 TV관련 웹사이트에 감염된 광고를 올리면서, 동일한 비중으로 맥 사용자와 PC사용자들을 목표로 삼았습니다. 만약 애플 맥을 통해 접속하면, 사용자들은 MacSweeper라고 하는 일종의 매킨토시 스캐어웨어에 의해 공격 당할지도 모릅니다.

6월에는 OSX/Hovdy-A 트로이목마가 발견되었는데, 이것은 맥 OS X 사용자들로부터 비밀번호를 빼내어서, 방화벽을 열어 해커들이 접속할 수 있게 하고 보안세팅을 해제시킬 수 있었습니다.

해커들이 백도어 트로이목마를 만들 수 있도록 도와주는 맥 OS X 툴인 Troj/RKOSX-A이 발견되었는데, 이는 해커들이 여러분의 애플 맥 컴퓨터에 접속하여 전체를 컨트롤할 수 있게 합니다.

11월에 소포스는 Jahlav Trojan에 대해 경고를 하였습니다. 다른 맬웨어 캠페인에서처럼, 사이버범죄자들은 비디오가 포함되어 있다고 주장하는 가짜 웹페이지를 만들었습니다. 사이트를 방문하면 당신이 비디오를 보기 위한 적절한 코덱이 설치되지 않았다는 메시지를 만들고 나서, 사이트는 여러분이 윈도우를 이용하면 EXE파일을, 애플 맥을 이용하면 DMG(Disk Image) 파일을 설치할 것을 제안합니다.

많은 논란 속에서, 애플은 고객들이 안티바이러스 소프트웨어를 실행하도록 권고하는 서포트 주의보를 발표하였지만, 언론의 관심 이후에 그들의 웹사이트에서 급히 그 페이지를 삭제하였습니다.

2009
2009년 1월에는, 해커들이 애플의 iWorks 09 software suite의 해적판안에 있는 BitTorrent를 통해 OSX/iWorkS-A 트로이목마를 배포하였습니다.

같은 달에, 트로이목마의 새로운 변종이 Adobe Photoshop CS4의 해적판에서 배포되었습니다.

3월에는 소포스가 어떻게 해커들이 맥 시네마(MacCinema)라는 HDTV 프로그램인 것처럼 가장한 웹사이트에서 RSPlug 트로이목마 버전을 심는지 보도하였습니다.

 

6월에 소포스랩은 맥 OS X용 Tored 이메일 웜의 새로운 버전을 발견하였고, 해커들은 하드코어 포르노 비디오 포탈인척 가장한 웹사이트에 Jahlav 맥 트로이목마 버전을 심어놓았습니다.

그 후에 바로, 유명 블로거인 가이 가와사키(Guy Kawasaki)의 트위터 계정은 가십걸 여배우 레이튼미스터(Leighton Meester)의 섹스 비디오를 가리키는 악성링크를 등록하였습니다.
하지만 사실, 그 링크는 의심하지 않은 사용자들을 맬웨어로 유도하는데 이것은 맥 유저들을 감염시킬 수 있습니다.

반면에, 애플은 마침내 맥 OS X에서 몇몇 초보적인 안티 맬웨어 보호 프로그램을 소개하기 시작했습니다.

비록 그것이 진정한 안티 바이러스 제품(그것은 단지 몇 안 되는 맥 맬웨어에 대해서는 보호를 하지만, 예를 들어 USB 스틱으로부터 감염된 파일을 카피하려고 한다면 방어하지 못하고, 치료 기능을 제공하지 않습니다)과 똑같지는 않지만, 맥 사용자들을 위해 더 많은 보호프로그램을 제안하는 몇몇 시도를 보는 것은 여전히 힘을 실어주는 것입니다.

2010
OSX/Pinhead 트로이목마(HellRTS라고도 함)가 나타났습니다.

백도어 트로이 목마는 해커들이 여러분의 귀중한 iMac이나 MacBook 전체를 원격 제어할 수 있게 합니다.

또다시, 멜웨어가 합법적인 어플리케이션(이번 경우에는, 최신 맥에 탑재되어 있는 포토 어플리케이션인 iPhoto 어플리케이션)인 척 위장하여 배포되었습니다.

보다 최근에는, Boonana 크로스 플랫폼 웜이 나타났는데, 이것은 감염을 위해 단지 윈도우즈 컴퓨터뿐만 아니라 맥 OS X이나 리눅스도 역시 목표로 하는 Java 애플릿을 사용하고 있습니다.

소포스는 그 공격의 다양한 컴포넌트를 Troj/Boonana-A, Troj/KoobStrt-A, Troj/KoobInst-A, Troj/KoobCls-A, Troj/Agent-PDY, Troj/DwnLdr-IOX, Troj/DwnLdr-IOY으로 감지합니다. 게다가, 소포스의 웹 보호는 악성 웹페이지로의 접속을 차단합니다.

또 2010년에는, 소포스가 맥용 안티바이러스의 개인 사용자버전을 무료로 출시하였습니다. 우리는 수년동안 맥 컴퓨터를 사용하는 기업 고객들을 보호해 왔었고, 이제는 개인 맥 컴퓨터 사용자들 역시 그 위협에 대비해 컴퓨터들을 보호할 기회가 생긴 것입니다.

초기의 보고서는 컴퓨터에 맬웨어를 가지고 있는 맥 사용자들이 아주 많다고 지적하고 있습니다. 그 중 몇몇은 윈도우즈 맬웨어이고, 몇몇은 맥 OS X, 그리고 몇몇은 크로스 플랫폼 맬웨어입니다.

윈도우즈 맬웨어 문제가 맥 컴퓨터 위협보다 훨씬 많다는 것은 의심할 여지가 없지만, 맥 OS X에서 맬웨어 감염의 위험이 존재하지 않는다는 것을 의미하는 것은 아닙니다.