애플 맥 잡는 랜섬웨어 등장…해결책은?
컴퓨터를 감염시켜 돈을 요구하는 이른바 ‘랜섬웨어’가 애플의 맥 컴퓨터에서도 발견돼 논란이다. 네트워크 보안 업체 선도 기업인 팔로알토 네트웍스는 3월7일 애플 맥용 운영체제 ‘OS X’을 겨냥한 랜섬웨어가 등장했다고 밝혔다. 팔로알토 네트웍스는 자사의 보안 인텔리전스 센터 ‘유닛24’ 블로그를 통해 ‘키레인저’라는 이름의 랜섬웨어가 맥의 파일 공유 프로그램 ‘트랜스미션 비트토렌트’의 설치 프로그램에 감염돼 있는 것을 확인했다고 밝혔다. 키레인저는 OS X 플랫폼에서 작동하는 최초의 완전한 기능을 갖춘 랜섬웨어로 분석된다.
이번에 감염된 트랜스미션은 오픈소스 프로젝트다. 원래는 사용자끼리 자료를 주고받는 토렌트 클라이언트다. 이번 감염에 대해 팔로알토 네트웍스는 트랜스미션의 공식 웹사이트가 손상됐을 가능성과 파일이 재컴파일된 악성 버전으로 교체됐을 가능성을 검토하고 있다. 아직 정확한 감염 경로는 현재 확인되지 않은 것으로 나타났다.
키레인저 애플리케이션은 유효한 인증서를 통해 개발됐다. 애플의 보안을 우회할 수 있었던 것도 이 때문이다. 사용자가 감염된 애플리케이션을 설치하면, 내장된 실행 파일이 시스템에서 실행되고 키레인저는 3일 동안 잠복해 있다가 ‘토르(Tor)’ 익명 네트워크를 통해 명령 및 컨트롤과 연결되는 것으로 확인됐다. 이후 시스템에 있는 특정 유형의 문서와 데이터 파일을 암호화하고, 암호화 과정이 끝나면 피해자에게 파일 암호화 해제를 명목으로 약 400달러 상당의 ‘비트코인’을 요구한다. 키레인저는 여전히 활성화된 상태다. 피해자가 백업 데이터를 복구하지 못하도록 맥의 ‘타임머신’ 백업 파일에 대한 암호화도 시도할 정도로 치밀하다.
태평양 표준시 기준으로 2016년 3월4일 오전 11시부터 3월5일 오후 7시까지 공식 웹사이트에서 트랜스미션 설치 프로그램을 직접 내려받은 사용자는 키레인저에 감염됐을 수 있다. 트랜스미션 설치 프로그램을 이 시간 이전에 내려받았나 제3의 웹사이트에서 내려받은 사용자는 다음과 같은 보안 검사가 권장되며, 이전 버전의 트랜스미션 사용자는 현재까지 영향이 없는 것으로 분석됐다. 자신의 맥 시스템이 트랜스미션의 키레인저 랜섬웨어에 감염된 것으로 의심되는 이들은 팔로알토 네트웍스가 밝힌 아래 3가지 방법을 시도해보는 것이 좋다.
- 맥의 ‘터미널’ 혹은 ‘파인더’를 통해 ‘/Applications/Transmission.app/Contents/Resources/ General.rtf’나 ‘/Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf’가 있는지 확인한다. 이들 중 하나라도 있는 경우, 트랜스미션 애플리케이션이 감염된 것이므로 이 버전의 트랜스미션을 삭제하도록 한다.
- OS X에 사전 설치된 ‘활성 상태 보기’(Activity Monitor) 앱을 사용하는 경우 ‘kernel_service’라는 이름의 프로세스가 실행되고 있는지 확인한다. 실행되고 있다면 프로세스를 다시 한 번 확인하고 ‘Open Files and Ports’를 선택해 ‘/Users/<username>/Library/kernel_service’ 같은 파일이 있는지 확인한다. 파일이 있다면 이 프로세스가 키레인저의 주요 프로세스이므로 ‘Quit→Force Quit’로 강제 종료한다.
- 이러한 조치 후에는 ‘~/Library directory’에 ‘.kernel_pid’, ‘.kernel_time’, ‘.kernel_complete’ 또는 ‘kernel_service’ 같은 파일이 있는지 확인하고, 파일이 있으면 이 파일들을 삭제해야 한다.
팔로알토 네트웍스는 최초 발견 일시인 지난 3월4일, 트랜스미션 프로젝트와 애플에 랜섬웨어 문제를 고지했다. 이후 애플은 악용된 인증서를 취소하는 한편 엑스프로텍트 안티바이러스 시그니처를 업데이트했다. 트랜스미션 프로젝트도 해당 웹사이트에서 악성 설치 프로그램을 제거했다. 팔로알토 네트웍스는 키레인저가 시스템에 미치는 영향을 중단시키기 위해 웹주소 필터링 및 위협 분석 플랫폼 업데이트를 완료했다.
