“애플 맥 사용자, 암호화폐 도난 조심”

[애플경제 이지향 기자] 새로운 맬웨어가 애플 맥OS(macOS) 기기를 통해 암호화폐를 훔칠 수 있다는 얘기가 나와 주목을 끈다. 그 때문에 애플 맥 사용자들은 특히 코인 투자를 할 때 조심해야 한다는 주문이다.

MS 사이버위협대응팀(Threat Intelligence)은 “최근 본사 연구원들이 암호화폐 지갑을 표적으로 삼을 수 있는 새로운 맬웨어 변종을 발견했다”며 이같이 밝혔다. ‘XCSSET’이란 이름의 맬웨어는 지난 2020년에 처음 발견되었으며, 스크린샷을 찍고, 사용자가 하는 일을 기록하고, 텔레그램에서 데이터를 훔칠 수도 있다. 그로 인해 “최신 버전의 XCSSET은 피해자의 화면을 기록할 수도 있고, 심지어 브라우저에 나타나는 비트코인 ​​주소를 조작할 수도 있다.”는 것이다.

암호화폐 지갑 표적 맬웨어 변종

업데이트된 해당 버전은 애플의 Notes 앱에 있는 데이터를 표적으로 삼을 수도 있으며, 맬웨어를 감지하기 어렵게 만드는 난독화 기술을 사용하기도 한다. 또 맥OS 도크에서 상장하기전 저가로 매수할 수 있는 ‘런치패드’를 활성화할 때마다 악성 페이로드가 배포됨을 의미한다. 그리고 파일을 암호화하는 기능이 있기 때문에 ‘XCSSET’이 랜섬웨어 공격에 사용될 위험이 있다.

MS는 “최신 변종이 지금까지 ‘제한된 공격’에서만 감지되었으며, 기업이 스스로를 보호할 수 있도록 이 정보를 공유하고 있다”고 말했다. 또한 백신 등 보안업체 ‘Trend Micro’ 연구원들의 경우 ‘XCSSET’ 맬웨어가 처음 등장했을 때 이는 주로 개발자를 표적으로 삼고 있는 것으로 판단했다.

그 당시에도 ‘XCSSET’은 최종 사용자가 브라우저에서 보는 것을 조작할 수 있는 이론적 기능이 있는 것으로 간주되었다. 이는 비트코인 ​​및 기타 암호화폐 주소를 수정하거나 교체함으로써 원하는 목적지가 아닌 엉뚱한 곳으로 자금이 전송되지 않을 수 있음을 의미한다.

특히 맥OS용 앱을 만드는 데 사용되는 파일로 구성된, 감염된 Xcode 프로젝트를 통해 전파되는 경우도 있다는 얘기다.

‘리포지토리’ 다운로드, 복제 Xcode 검사·확인

전문가들은 맥의 ‘마이크로소프트 디펜더 엔드포인트’(Microsoft Defender for Endpoint)가 최신 ‘XCSSET’ 변종을 감지할 수 있는 기능도 있는 것으로 본다. 그래서 사용자는 항상 ‘리포지토리’에서 다운로드하거나 복제한 모든 Xcode 프로젝트를 검사하고 확인해야 한다. 맬웨어는 일반적으로 감염된 프로젝트를 통해 확산되기 때문이다. 그러므로 “소프트웨어 플랫폼의 공식 앱 스토어와 같이 신뢰할 수 있는 출처에서만 앱을 설치해야 한다”는 전문가들의 설명이다.

한편 체이널리시스는 “최근 랜섬웨어 공간이 빠르게 진화하고 있으며, 해커에게 지불되는 금액이 2024년에 전년 대비 35% 감소했다”고 언급했다. 이는 사법 기관의 강력한 대응과 함께 피해자가 지불을 거절하는 사례가 증가한 결과로 해석된다. 하지만 ‘블록체인 인텔리전스’사는 “이에 공격자들은 새로운 랜섬웨어 변종을 배포하고, 데이터가 암호화된 지 몇 시간도 채 안돼 몸값을 요구하는 등 전략을 바꾸기 시작했다”고 경고했다.

그런 가운데 미국, 영국, 호주 등의 정부는 최근 악명 높은 록비트 그룹을 비롯해 여러 랜섬웨어 공격자가 사용하는 호스팅 서비스를 제공하는 러시아 서버 업체 ‘Zservers’를 공동으로 제재를 가했다. 미국 외국자산통제국(OFAC)은 ‘Zservers’와 직원 6명을 ‘특별 지정 국민’(SDN) 목록에 올려 이들이 소유한 미국 기반 자산을 차단했다. 또 미국의 기업이나 기관이 이 회사와 사업이나 거래를 하는 것을 금지했다.