29일 야후뉴스에 따르면, 북한 해커가 맥OS 사용자를 표적으로 삼는 여러 해킹시도를 통해 온라인 위협에 대한 우려를 가중시키고 있다.
월요일 발표한 보고서에서 센티넬원(SentinelOne)은 2023년에 북한 해커가 macOS 사용자를 대상으로 러스트버켓(RustBucket) 및 캔디콘(KandyKorn)이라는 주요 해킹 공격을 실시했다고 전했다.
RustBucket은 피해자에게 전송되는 미끼 PDF 문서의 ‘PDF 뷰어’를 통해 스위프트 로더(SwiftLoader) 악성 코드 배포를 활용했으며, KandyKorn은 호스트의 디스코드 앱을 장악하고 대상 시스템에 백도어 RAT(원격 액세스 트로이 목마)를 설치하기 위해서 파이톤(Python) 스크립트를 사용하는 암호화폐 거래소 플랫폼의 블록체인 엔지니어를 주 표적으로 삼았던 것으로 드러났다.
이 같은 악성코드 배포자들은 인텔과 애플 실리콘(Apple Silicon) 하드웨어 모두에서 실행될 수 있는 다양한 형태로 실행가능한 RustBucket의 SwiftLoader를 통해 두 공격법의 소프트웨어 요소를 혼합하고 있다.
일례로 스위프트로더를 활용한 해킹 공격의 경우 ‘Crypto-assets and their Risks for Financial Stability.app.zip’이라는 파일명으로 패키지되어 있었는데, 여기에는 파일을 열면 대상 장치를 자동으로 캔디콘에 연결하는 여러 요소가 포함돼 있었다.
연구원들은 이 같은 하이브리드 프로그램에 사용된 .pld 파일이 KandyKorn RAT 자체에 사용된 것과 동일한 파일을 참조하고 있는 것으로 유추했는데, 이는 북한과 연계된 사이버 위협 행위자가 공유 인프라를 재사용하는 경향이 있다는 타 업체의 연구 조사 결과와도 일치한다.
한편, 캔디 콘 및 러스트 버켓 멀웨어의 위협으로 부터 자신의 컴퓨터를 보호하고 싶다면, macOS 사용자는 파일 및 응용 프로그램의 소스를 반드시 확인하고, 신뢰할 수 없는 소스를 통한 문서는 열지 않으며, 보안 업데이트를 최신으로 유지하는 등의 기본적인 것들 부터 점검할 필요가 있겠다.
특히 현재 맥OS에 대한 해커의 관심이 2019년보다 약 10배 증가한 상황에서 애플 맥북 유저는 안전한 운영 체제를 유지하려는 애플 노력에 더해, 언제든 도사리고 있을 잠재적 사이버 위협에 대한 경각심을 늦추지 말아야 할 것이다.