맥 키체인 비밀번호를 훔치고 토르를 통해 유출시키는 매우 드문 트로이잔(Trojan) 멀웨어가 발견됐다.
 
‘Keydnap’(키드냅)이라고 불리는 이 멀웨어는 txt나 jpg 확장자로 압축되어 유포되었다. 한가지 다행인 것은 Keydnap이 OS X 레벨 버그를 공격하는 멀웨어가 아니라는 사실이다. 또한 기본 설정의 맥은 보안 설정에 의해 보호되고 있어서 알려지지 않은 개발자가 만든 프로그램을 실행할 수 없다.
 
그러나 프로그램 설치 설정을 바꾼 사용자는 ‘icloudsyncd’라고 불리는 백도어나 키체인 비밀번호를 훔치는 멀웨어에 감염되게 된다.
 
이셋(Eset) 보안 연구원 Marc-Eteinne M.Leveille는 분석 보고서에서 멀웨어 제작자가 소프트웨어 개발자 Juuso Salonen가 2012년에 만든 깃허브 poc 코드로부터 키체인 기능을 훔쳤다고 말한다.
 
또한 그는 “Keydnap은 OS X의 키체인에 저장된 키와 비밀번호들을 모아서 빼내기 위한 매커니즘을 사용하고 있다.”라고 덧붙였다.
 
해당 멀웨어는 텍스트북 멀웨어 트릭을 사용하고 있으며 유인용 문서나 이미지 파일을 사용하고 있다. 이미지 파일 중 일부는 봇넷 또는 타깃이 된 보안 범죄 연구원들이나 라이벌 범죄자들이 사용하는 C&C의 스크린샷이다.
 
해당 악성코드로 인한 피해사례나 배포 경로는 밝혀지지 않고 있다. M.Leveille도 “얼마나 많은 사용자들이 공격의 대상이 되었는지 알지 못한다”고 말하며, “이 퍼즐에는 몇가지 잃어버린 조각이 있다. 지금 이 시점에서는 Keydnap이 얼마나 유포되었고 얼마나 많은 희생자가 있는지 알 수 없다”라고 덧붙였다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 HSK 외신기자>