카스퍼스키 랩(www.kaspersky.co.kr)은 맥OS X 플랫폼을 대상으로 신종 백도어를 발견했다고 발표했다. 2012년 6월 27일 카스퍼스키 랩에서 발견한 이 APT 공격 백도어는 위구르족 운동가를 대상으로 하는 Mac OS X용 공격 툴로 밝혀졌다.
 
APT 공격자는 Mac 사용자로 추정되는 공격 대상 위구르족 운동가에게 유인 이메일을 보냈다. 유인 이메일에는 Mac OS X용 악성 백도어가 있는 ZIP 첨부 파일이 있었으며, 악성 프로그램을 숨기기 위해서 ZIP 파일에는 악성 프로그램과 함께 JPEG 사진을 보여주어 안심하고 메일을 열도록 유도했다.
 
카스퍼스키 랩의 분석에 따르면 이 악성 프로그램은 잘 탐지되지 않는 MaControl 백도어의 변종이라고 결론지었으며, 마이크로소프트 Windows와 Mac OS 둘 다 지원하는 것으로 밝혀졌다.
 
악성 프로그램을 실행하면 MaControl 백도어는 피해자의 Mac에 설치되고 추가적인 명령 수행을 위해 중국에 위치한 C&C 서버에 연결하는 것으로 확인되었다.
 
카스퍼스키 랩의 글로벌 연구&분석 이사인 코스틴 라우는 “Mac의 인기가 꾸준히 증가하고 있을 뿐만 아니라 Mac이 더 안전하다고 믿어 Mac OS X 컴퓨터를 선택하는 고위급 사람들도 있다. 하지만 Mac OS X 사용자가 증가할수록 Mac을 대상으로 하는 악성 프로그램 공격도 늘어날 것”이라며 “공격자들은 더욱 많은 사용자를 감염시키기 위해 다양한 공격 기법과 사회공학적 기술을 개발할 것이다. Windows PC의 악성 프로그램처럼 Mac OS X 사용자의 보안도 위협할 것”이라고 경고했다.
 
대략 70만대의 Mac 컴퓨터를 봇넷으로 만든 악명 높은 Flashfake 트로이목마가 Mac OS X 감염의 가장 두드러진 예다. 얼마 전 애플은 웹사이트에 ”Mac은 Windows 기반 컴퓨터를 괴롭히는 수 천 개의 바이러스에 걸리지 않는다”라고 주장했다.
 
하지만 사이버 범죄자들이 다양한 공격 기술과 방법을 사용해 Mac 플랫폼을 공격하기 때문에 Mac OS X 취약점 수정은 2012년에도 꾸준히 변경될 것으로 보인다.
 
카스퍼스키 랩 제품에서는 현재 이 신종 백도어를 Backdoor.OSX.MaControl.b.로 탐지하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com