거의 반세기 동안 macOS 시스템을 혼란에 빠뜨린 강력한 바이러스인 OSAMiner는 탐지를 회피하기 위해 매우 교묘한 수법을 사용했으며 전 세계 Apple 기기의 처리 능력을 지속적으로 악용했습니다.
바이러스 분석가들이 거의 반세기 동안 발견하지 못했던 대규모 보안 침해가 최근 발생하면서 Mac이 사이버 공격에 무방비 상태라는 통념에 도전장을 내밀었습니다. OSAMiner가 정확히 무엇이며 어떻게 그렇게 오랜 기간 동안 탐지를 피할 수 있었는지에 대한 의문이 남아 있습니다.
OSAMiner 바이러스란 무엇인가요?
강력한 암호화폐 채굴 프로그램인 OSAMiner는 발견되기 전까지 약 5년 동안 macOS 시스템에 성공적으로 침투했습니다. 놀라운 지속성과 회피 능력으로 인해 사이버 보안 전문가들 사이에서 호기심의 대상이 되었지만, 이 기간 동안 완전히 분석할 수 없었습니다.
OSAMiner로 알려진 이 악성 소프트웨어는 2018년 중국 사이버 보안 회사에 의해 개인 소유의 디지털 화폐인 모네로를 Mac 컴퓨터에서 채굴하는 것을 목표로 하는 트로이 목마로 처음 확인되었습니다. 하지만 2021년 SentinelOne의 보고서에서 운영 체제 익스플로잇으로 공식적으로 공개되었습니다.
OSAMiner는 전체 소스 코드에 액세스할 수 없어 바이러스 분석가의 탐지를 피하는 은밀한 특성으로 인해 다른 암호화폐 채굴기와 차별화됩니다.
OSAMiner 바이러스는 어떻게 Mac을 감염시켰나요?
OSAMiner의 확산은 주로 아시아 태평양 및 중국 지역을 중심으로 불법 복제된 비디오 게임 및 소프트웨어의 유포에 의해 촉진되었습니다. 불법 토렌트 웹사이트를 통한 불법 콘텐츠의 광범위한 이용이 이 악성 코드의 확산에 크게 기여했습니다.
이 바이러스는 Mac용 Microsoft Office와 같은 소프트웨어 프로그램과 리그 오브 레전드와 같은 인기 비디오 게임의 무단 사본을 얻은 개인들 사이에서 널리 퍼졌습니다. 불법적으로 획득한 소프트웨어 응용 프로그램의 설치 과정에서 사용자 모르게 또는 동의 없이 Apple이 작성한 스크립트가 은밀하게 실행되었습니다.
초기 다운로드 프로세스에 의해 트리거된 AppleScript 프로그램의 실행은 동일한 방법을 통해 또 다른 다운로드를 시작하여 또 다른 유사한 스크립트가 실행되는 결과를 초래합니다. 결국, 이러한 일련의 이벤트는 Mac 컴퓨터에 최종 AppleScript를 설치하는 것으로 마무리되어 해당 스크립트의 활동을 모니터링하기가 매우 어렵게 됩니다.
OSAMiner가 탐지되지 않는 방법
이 악성 코드가 작동하는 기반이 되는 실행 전용 AppleScripts의 기능을 포괄적으로 이해하면 OSAMiner가 탐지를 회피하는 데 활용하는 메커니즘을 쉽게 파악할 수 있습니다. AppleScripts는 강력한 자동화 도구이며 macOS에서 소프트웨어 작동에 상당한 영향력을 행사하여 사용자에게 향상된 제어 권한을 부여합니다.
AppleScript 언어의 활용은 접근성과 포괄성을 모두 보장하기 위한 것입니다. 실행 전용 AppleScript는 수정이나 열람 없이 실행 전용으로 컴파일된 스크립트 변형을 구성합니다.
첫째, 스크립트의 기본 소스 코드를 엿보거나 무단으로 수정하지 못하도록 숨기고, 둘째, 스크립트에 포함된 모든 기밀 데이터를 보호합니다.
초기 단계에서 사람의 손에 의해 수정되거나 변경되지 않도록 설계되었습니다. 따라서 사람의 눈으로 읽을 수 없기 때문에 사이버 보안 분석가들이 시스템을 검사하는 동안 OSAMiner를 탐지하지 못했습니다.
누가 OSAMiner 감염을 발견했나요?
OSAMiner를 발견한 보안 리서치 회사인 SentilOne은 전체 공격 체인과 OSAMiner가 Mac을 감염시킬 수 있었던 방법을 설명하는 자세한 침해 지표(IoC) 목록을 게시했습니다.
바이러스를 배후에 둔 공격자들이 점점 더 공격에 능숙해짐에 따라 OSAMiner는 진화 과정을 거쳤다는 점에 유의해야 합니다. 2018년 8월과 9월에 두 개의 중국 사이버 보안 회사가 OSAMiner에 대한 보고서를 발표했지만, 그 평가는 이 악성코드의 기능을 정확하게 파악하기에는 한참 부족했습니다.
앞서 언급한 오사스크립트 탐지가 발견되었지만, 연구원들이 완전한 악성 코드를 확보하지 못했기 때문에 이 보고서는 사이버 보안 커뮤니티에 미치는 영향은 미미했습니다.
OSAMiner는 여전히 보안 위험을 초래하나요?
크립토재킹의 위협은 만연해 있으며 모든 기기에 영향을 미칠 수 있으며, 중첩 실행 전용 Apple스크립트는 사이버 범죄자들이 악용할 수 있는 중요한 취약점으로 인식되고 있습니다. Apple은 제품의 보안을 강화하기 위해 노력해 왔지만 OSAMiner와 같은 위협으로 인한 위험은 여전히 존재합니다.
Apple 장치에 여러 보안 메커니즘이 포함되어 있음에도 불구하고 사용자는 바이러스 백신 프로그램을 설치하는 것이 필수적입니다. 악성 소프트웨어 공격으로부터 보호하는 가장 효과적인 방법은 승인되지 않은 경로를 통해 불법 소프트웨어나 게임을 구입하지 않는 것입니다.이러한 예방적 접근 방식을 채택하면 바이러스에 감염될 가능성을 크게 줄일 수 있습니다.
Mac을 보호하기 위해 정기적으로 검사 실행
보안되지 않은 웹 서핑을 할 때는 OSAMiner와 같은 지능형 사이버 위협이 점점 더 널리 퍼지고 있으며 장기간에 걸쳐 심각한 피해를 입힐 수 있으므로 정기적으로 바이러스 검사를 실행하는 것이 필수적입니다.
악성 소프트웨어로부터 Mac 컴퓨터를 보호하는 가장 효과적인 방법 중 하나는 Apple에서 출시한 업데이트를 자주 적용하는 것입니다. 사이버 범죄자가 악용할 수 있는 잠재적인 취약점을 방지하려면 시스템을 최신 보안 패치로 최신 상태로 유지하는 것이 중요합니다.