애플 맥 OS X를 겨냥한 말웨어가 또 등장했다. 지난 주 중국어 PDF 파일로 위장한 트로이목마에 이어 이번에는 맥용 어도비 플래시 플레이어 설치관리자(인스톨러)로 위장한 트로이목마가 발견됐다.
27일(현지시각) 보안업체인 인티고(Intego)는 어도비 플래시 플레이어의 인스톨러로 위장한 ‘플래시백’ 트로이목마를 발견했다고 밝혔다. 어도비 플래시 플레이어를 사칭한 만큼 사용자가 자칫 실행시킬 가능성도 매우 높다.
플래시백 트로이목마는 사용자에게 “특정 콘텐츠에 액세스하는 데 어도비 플래시 플레이어가 필요하다”며 악의적인 웹사이트들로 유인해 플래시 플레이어의 인스톨러로 위장한 실행 파일을 설치하도록 한다.
애플의 맥 OS X 10.7(코드명 라이온)에서 어도비 플래시를 사전 설치해 제공하지 않는다는 점을 노린 것이다. 어도비 플래시 콘텐츠를 실행시키려는 라이온 사용자들은 자신이 직접 어도비 플래시 플레이어를 설치할 수밖에 없다.
인티고는 “라이온 사용자들은 반드시 애플 사파리 웹 브라우저에서 ‘다운로드 후 안전한 파일 열기("Open `safe` files after downloading)’ 항목을 체크하지 않은 상태로 두어야 한다고 조언했다. 또한 사용자들은 감염 여부를 살피기 위해 ‘~/Library/Preferences/Preferences.dylib’라는 파일이 있는지 직접 확인해야 한다.
이 트로이목마는 맥 OS X 중에서도 최근 발표된 업데이트 버전인 라이온(맥 OS X 10.7)만을 타깃으로 한다. 실제 플래시 인스톨러와 룩&필이 똑같아 사용자 주의를 요구한다. 인티고는 반드시 어도비 공식 사이트에서 플래시 플레이어를 다운로드해야 한다고 지적했다.
플래시백 트로이목마는 사용자 컴퓨터에 설치된 다음에 인스톨러 패키지를 삭제하고 일부 네트워크 보안 소프트웨어를 무력화시킨다. 플래시백에 의해 사용된 코드는 컴퓨터에서 실행되는 특정 애플리케이션에 삽입될 수 있는데 이후 원격 서버에 접속해 맥어드레스 등 감염된 시스템을 규정할 수 있는 특정 정보를 보내게 된다.
지난 주에는 맥 OS X 사용자를 겨냥해 중국어 PDF 다운로드를 위장한 트로이목마 Trojan-Dropper:OSX/Revir.A가 발견되었다. 이 트로이목마 역시 해커가 사용자의 맥에 원격 액세스할 수 있는 백도어를 포함하고 있다.
최근 들어 애플 맥 환경을 겨냥한 트로이목마가 활개 치는 것은 애플 맥 제품의 성장과도 관련 있다. IDC, 가트너 등의 2분기 미국 PC 시장 조사에 따르면 마이너스 성장을 기록한 미국 PC 시장에서 애플이 유일하게 두 자리 수 성장을 기록하며 3위로 올라섰다. IDC는 애플의 시장 점유율이 1년 전보다 14.7% 성장했다고 전했다.
박현선기자 hspark@etnews.com
trend@etnews.com
