악명높은 랜섬웨어 제작자들이 맥OS를 공략하고 있다고 알려졌다. 보안 연구단체 멀웨어헌터팀은 16일(현지시간) 러시아 기반 록빗 갱이 제작한 것으로 추정되는 랜섬웨어 파일을 공개했다. 맥OS 파일들을 강제로 암호화하는 코드로 분석된다.

소규모 사업체부터 대기업 및 정부 기관은 종종 랜섬웨어 공격을 받는다. 해커들은 직원들에게 전자 메일을 보내 랜섬웨어가 담긴 프로그램을 내려받도록 속인다. 한번 설치된 악성 프로그램은 모든 컴퓨터 시스템으로 퍼지면서 파일들을 쓰지 못하게 암호화한다. 해커는 암호를 풀어주는 대가로 기업에 돈을 요구한다. 보통 비트코인 같은 암호화폐로 거래를 시도하는 편이다.

지난 몇 년 동안 랜섬웨어 공격은 송유관, 학교, 병원, 클라우드 제공업체 등 다양한 사업을 마비시켰다. 록빗은 수백 번 공격을 수행한 해킹 단체다. 지난 6개월 동안 영국의 로얄 메일 국제 배송 서비스를 중단하고 크리스마스 기간에 캐나다 어린이 병원을 방해한 전적이 있다.

지금까지 해킹은 주로 윈도우, 리눅스 등 기업 운영체제를 노렸다. 애플 컴퓨터는 기업용으로 사용되기보다 일반 대중에게 사랑받는 제품이다.

멀웨어헌터팀이 최근 맥 암호화 바이러스를 발견했지만 언급된 건 더 이른 시점이다. 멀웨어 추적 사이트 바이러스토탈에서 작년 11월부터 두 종류의 공격을 보고했다. 하나는 새 M1칩을 탑재한 맥 컴퓨터를 대상으로 한다. 두 번째는 2006년 이전에 개발된 파워PC CPU를 노린다. 비록 바이러스 토탈에 등장하진 않았지만, 인텔 기반 맥 컴퓨터를 감염시키는 세 번째 바이러스도 있을 수 있다.

악성프로그램은 아직 보안을 뚫어낼 역량은 없어 보인다. 블리핑 컴퓨터는 16일 애플 M1을 대상으로 만든 멀웨어를 미숙하다고 평가했다. 또한 적합하지 않은 여러 코드 조각들이 있는 것을 보고 개발 도중 던져진 프로그램일 거로 추측했다.

패트릭 와들 보안 연구원도 16일 M1 멀웨어를 심층적으로 조사한 결과 비슷한 결론에 도달했다. 코드가 불완전하고 버그가 있으며 맥OS에서 실제로 파일을 암호화하는 기능이 빠지었다. 애플 개발자 ID로 인증되지 않았기 때문에 실행되지도 않았다. 와들은 "일반적인 맥OS 사용자들이 해당 록빗 맥OS 표본에 영향받지 않을 것으로 보인다"고 주장했다. 그러나 "대규모 랜섬웨어 갱단이 맥OS를 공략하고 있는 게 분명하다"며 "우려스러운 일로 초기에 멀웨어를 탐지하고 방지하는 노력을 기울여야 한다"고 강조했다.

애플은 랜섬웨어 공격 위험을 방어하는 여러 보안 기능이 있다. 와들에 따르면 운영 체제를 조작하는 파일은 시스템 무결성 보호 및 읽기 전용 시스템 볼륨에 의해 막힌다. 랜섬웨어가 컴퓨터에 도달하더라도 맥OS 작동을 방해하기 어렵다는 뜻이다. 애플은 문서 및 기타 폴더를 보호하는 체계도 운영하므로 랜섬웨어는 사용자 승인 없이 암호화할 수 없다. 랜섬웨어가 맥을 암호화하는 게 불가능하진 않지만, 최신 보안을 유지하는 컴퓨터를 뚫기는 쉽지 않을 것이다.

그런데도 대형 해킹 그룹이 맥 컴퓨터를 목표 선상에 올렸다는 사실은 큰 걱정거리다. 세계적 수준의 기술력을 지닌 애플도 지속해서 도전받는다는 점을 상기시켜준다. 블리핑컴퓨터가 록빗에 연락했을 때 그들은 맥 암호화 프로그램이 개발되고 있다고 확인해주었다. 현재로서 맥OS에서 랜섬웨어가 잘 작동하지는 않지만, 경각심을 가질 필요는 있다. 항상 보안 업데이트를 최신 상태로 유지하고 인터넷에서 의심스러운 파일을 내려받지 말아야 한다. 

※이 기사는 popsci.com 원문을 바탕으로 작성됐으며, 번역은 파퓰러사이언스코리아 소속 기자가 도왔습니다.

/ 글 HARRY GUINNESS 기자 & 육지훈 기자