애플 맥북 노리는 북 해커들… 비트코인 정보로 위장

맥OS용 신종 멀웨어, 北해킹조직 연결
비트코인 가격 정보 담은 PDF로 속여
문서 열면 악성코드 심어 컴퓨터 장악

애플 로고 간판. 국민일보 DB

맥북 등 애플 컴퓨터 운영체계인 ‘맥OS’를 노린 신종 멀웨어(악성코드)가 북한 해킹 조직과 연결된 것으로 보인다는 분석 결과가 나왔다. 주로 암호화폐 기업 관계자가 비트코인 가격 정보를 담은 문서를 열도록 유인한 뒤 해킹 프로그램을 몰래 설치해 기기를 장악하는 방식인 것으로 알려졌다.

미국 사이버보안 전문 매체 더해커뉴스는 21일(현지시간) “사이버보안 연구원들이 투두스위프트(TodoSwift)라는 이름의 새로운 맥OS 멀웨어 변종을 발견했다”며 “이는 북한 해킹 단체가 사용하는 것으로 알려진 악성 소프트웨어와 공통점을 보인다고 한다”고 보도했다.

애플 기기 관리·보안 플랫폼 ‘칸지(Kandji)’ 수석 맥OS 보안 연구원 크리스토퍼 로페즈는 회사 웹사이트에 해당 분석 결과를 공유하면서 “(투두스위프트는) PDF 문서를 다운로드해 사용자에게 보여준다는 명목으로 동시에 악성 코드를 다운로드하고 실행한다”고 설명했다.

그는 “이 애플리케이션은 잠재적인 비트코인 ​​가격에 대한 합법적 정보처럼 보이도록 설계된 것 같다”며 구글 드라이브 URL을 사용하는 등의 방식이 이전에 북한이 사용한 맥OS용 멀웨어와 일치한다고 결론지었다.

로페즈 연구원이 언급한 이전 멀웨어는 ‘칸디콘(KANDYKORN)’과 ‘러스트버킷(RustBucket)’이다. 이들은 북한이 운영하는 것으로 알려진 해커 단체인 라자루스 그룹(Lazarus Group)의 작품으로 평가된다고 더해커뉴스는 설명했다. 라자루스 그룹는 금융 사이버 범죄를 수행하는 블루노르오프(BlueNorOff)라는 하위 조직을 두고 있다.

지난해 말 미국 사이버보안 전문 기관 엘라스틱보안연구소는 칸디콘을 추적해 한 암호화폐 거래 플랫폼을 노린 또 다른 맥OS 멀웨어를 발견했다. 칸디콘은 상대 컴퓨터에 접근해 데이터를 빼내는 것은 물론 작업을 임의로 종료시키고 명령을 실행할 수도 있도록 설계됐다.

엘라스틱보안연구소는 당시 “북한은 라자루스 그룹 같은 조직을 통해 암호화폐 기업을 계속 공격해 암호화폐를 훔치고 국제 제재를 우회하고 있다”며 “그들은 공개 채팅 서버에서 활동하는 블록체인 엔지니어를 표적으로 삼았다”고 전했다.

칸지 조사 결과를 보면 새롭게 발견된 투두스위프트는 ‘투두태스크(TodoTasks)’라는 파일 형태로 배포된다. 피해자가 미끼로 제공된 PDF 문서를 열면 악성코드를 몰래 다운로드시켜 실행하는 방식으로 작동한다. 구글 드라이브에 올려진 PDF는 비트코인 가격에 관한 정보를 담은 문서로 위장했다고 한다.

악성코드가 설치되면 OS(운영체제) 버전이나 하드웨어 모델 등 정보를 수집할 수 있고 피해 기기를 직접 제어할 수 있다고 로페즈 연구원은 경고했다.

강창욱 기자 kcw@kmib.co.kr

GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재 및 수집, 재배포 및 AI학습 이용 금지