맥 OS와 트로이 플래시백이 바꾼 사이버 보안

 

그렇게 오래되지 않았을 때, 맥에는 바이러스가 침투할 수 없을 것이라고 생각되었습니다. 실재로 애플은 웹사이트를 통해서 "PC 바이러스에 감염되지 않는다" 라고 이야기를 한 적이 있습니다. 그러나 이러한 이야기는 2012년  맥OS애 트로이 플래시백 멀웨어가 나타나기 전의 일 입니다.

이후로 맥과 아이폰 보안의 문제는 급격하게 변화해 왔으며, 전체 세계의 보안 환경도 바뀌었습니다. 이 글에서 어떻게 플래시백 사건이 전개되었는지를 보안의 환경을 영구히 어떻게 바뀌었는지에 대해서 볼 예정 입니다. 

 

[참고: 애플]

https://9to5mac.com/2012/06/25/apple-softens-its-language-on-virus-susceptibility-in-wake-of-flashback-trojan/

Apple softens its language on Virus susceptibility in wake of Flashback trojan

 

맥 플래시백 트로이가 무엇일까요? 

플래시페이크라고도 불리는 플래시백은 맥OS와 멀웨어가 합쳐진 것으로 2011년 9월에 처음 발견이 되었습니다. 2012년 3월까지 트로이 바이러스는 약 700,000 의 전세계 컴퓨터를 감염시켜 왔습니다. 감염 이후 봇넷은 침해를 받은 PC들은 모아서, 추가적인 의심스러운 코드를 설치하는 것이 가능하게 하였습니다. 멀웨어의 목적들 중에 하나는 잘못된 검색엔진 결과를 만드는 것 이었습니다. 

연구자들에 따르면, 공격자들은 구글 검색 매출을 빨아들이기 위해서 플래시백을 사용하였습니다. 트로이의 광고클릭 요소는 크롬, 파이어폭스, 사파리에 로드되었는데, 여기에서 브라우저의 요청을 막고,  공격자들이 선택한 페이지로 특정 검색 퀴리를 우회켰습니다.  이러한 방법을 통해 범죄자들은 클릭으로 하루에 10,000 달러 이상의 매출을 긁어모았습니다.

 

[참고:  맥OS와 멀웨어]

https://www.macworld.com/article/669546/a-history-of-the-mac-flashback-trojan.html

A history of the Mac Flashback Trojan

[참고: 연구]

https://community.broadcom.com/symantecenterprise/communities/community-home/librarydocuments/viewdocument?DocumentKey=71260c9a-d293-4f07-b1e7-0594c6b8ea52&CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=librarydocuments 

Endpoint Protection - Symantec Enterprise

 

 

 

 

워드프레스를 통한 감염

 

 카스퍼스키에 따르면, 플래쉬백 멀웨어는 공격자들의 파트너 프로그램에 의해서 퍼졌습니다. 이 프로그램은 러시아에서 만들어진 것으로 보여 집니다.

스크립트가 실행되도록 설계된 이 프로그램은 수 많은 합법적인 웹사이트들을 통해서 우회했습니다. 2012년 3월 초까지 이  프로그램은 워드프레스를 통한 수천만의 사이트 들을 감염시켰습니다. 이는 취약한 워드프레소 버전을 사용하거나, 툴팩 플러그인을 설치한 웹 소유자들에 의해서 나타났습니다.  취약점을 갖게된 사이트들의 약 85% 는 미국에 위치했습니다. 

감염된 싸이트의 어느 하나를 방문할 떄, 테이블 형식의 데이터 스트림을 거쳐가 갔습니다. 브라우저는 이후 rr.nu 도메인 영역으로 사이트를 숨겨진 우회방식으로 가는 것을 수행할 수 있었습니다. 악성 사이트은 플래쉬백 탈취 공격들이 사이트에 설치되어 멀웨어를 실행하게끔 하였습니다. 

[참고: 카스퍼스키]

https://securelist.com/the-anatomy-of-flashfake-part-1/36423/

The anatomy of Flashfake. Part 1

 

 

 

iOS와 맥OS 의 새로운 현실 

플래시백의 새로운 현상은 전체 사이버보안과 테크 산업을 흔들었습니다. 과거에는 바이러스로 부터 하나의 피난처로 여겨졌던 맥 OS 는 이제는 더 이상 그렇지 않습니다. 그리고 이것은 독립된 하나의 사건이 아닙니다. 곧 이어 2012년 4월 새로운 맥 OS와 트로이 바이러스가 발견되었습니다.

오늘날로 빠르게 돌아와 보나면, 이 취약점들은 계속 급속히 증가합니다. 2022년 8월 애플의 지원 웹사이트에서는 iOS15.6.1.과 iPadOS 15.6.1 과 맥OS Monterey 12.5.1  보안업데이트를 공개하였습니다. 이론적으로, 이 취약점들은 해커들에게 디바이스에 전체 도메인에 접근권한을 주었습니다. 이는 침입자들이 디바이스의 소유자들을 흉내내고 이후에 그들의 이름으로 어떠한 소프트웨어를 실행할 수 있게 하였습니다.

이러한 취약점들이 주목을 끄는 동안, 현실은 어떠한 시스템도 보안위협에 대한 면역체계를 갖고 있지 않습니다. 당신은 유일하게 애플과 마이크로소프트 보안 업데이트 페이지에서만 이 노출된 문제가 어느정도의 문제를 지니고 있는지를 겨우 볼 수 있습니다. 이러한 걱정과 동시에 공격자들은 모든 취약점을 찾아내서 정보탈취를 위한 더 많은 노력을 하고 있습니다.

[참고: 맥 OS와 트로이 바이러스]

https://www.macworld.com/article/669534/new-mac-os-x-trojan-discovered.html

New Mac OS X Trojan discovered

 

[참고: 취약점들]

https://www.npr.org/2022/08/19/1118406888/apple-iphone-ipad-mac-security-updates

Apple warns of security flaws in iPhones, iPads and Macs

멀웨어는 계속 발전 중  

 

맥과 아이폰들은 여전히 다른 옵션들에 비교하면 안전하고, 이들의 보안은 평균 이상 입니다. 애초에는 안전했을지 모르지만,  더 이상 어떤  OS 도 완전히 안전하지는 않습니다. 

이러한 냉정한 사실을 곰곰히 생각해 보려 합니다. 아틀라스 VPN에 따르면, 맥 OS 멀웨어의 발전은 2020년도에 1,000% 이상 증가했습니다. 674,273 개의 멀웨어 샘플에 달하였습니다. 2020년도에 91만개 이상에 달하였던 윈도우와 비교해 볼 수 있습니다.

어떤 점에서는 플래시위백 사건은 역사적으로 중요한 순간 이었고, 이 때 부터 공격 비율은 상당히 증가하기 시작했습니다. 예를 들면 2012년 부터 2013년 까지 멀웨어 감염의 성장률은 82.62 백만에서 부터 165.81 백만 사건으로 2배가 되었습니다. 또한 IC3에 보고된 사이버 범죄 금정적인 피해는 2012년과 2013년 사이에  200백만 달러가 증가 되었다고 합니다. 여기서 부터, 사건의 양과 비용은 빠르게 증가하였고 줄어들 만한 신호는 보이지 않았습니다.

현재, 많은 요소들이 이러한 증가에 한 몫을 하고 있습니다. 스타트업의 경우 재택근무를 하는 사람들이 많은데 이는 공격표면을 넓게 증가 시킵니다. 우크라이나의 갈등,  저렴한 공격 서비스 그리고 타이트한 보안환경이 이러한 점에 기여하고 있습니다. 이러한 요소들 모두 급격하게 보안팀의 부담을 증가 시킵니다.

IBM 의 2022년도 데이터침해 보고서내의 분석한 기업 83%는 1개 이상의 데이터 침해를 경험하였습니다. 이러한 새로운 사실들은 보안이 단지 주요 비즈니스에게만 걱정거리일 뿐만 아니라 전반적인 비즈니스 전략에 핵심 요소라는 것을 보여 줍니다. 

 

[참고: 아틀라스 VPN]

https://itnerd.blog/2021/03/17/guest-post-macos-malware-development-surged-by-over-1000-in-2020-says-atlas-vpn/

Guest Post: macOS Malware Development Surged By Over 1,000% In 2020 Says Atlas VPN

 

 

 

 

새 위협들에는 새 도구들이 필요 

트로이 플래사백이 공격 이벤트에서 핵심을 이루고 있다면, 아마 보안에 대한 새로운 시각을 가지도록 우리를 이끌어 갈 것입니다. 또한 어떠한 시스템도 온전히 안전하지 않다면, 완화조치를 하는 도구들은 더욱 지능적이고 위협에 대응이 가능해야 합니다. 안전장치 시스템을 설치하는 것을 기대하는 것 보다 위협지능, 제로 트러스트, 인공지능 기반의 보안과 같은 접근법이 보안에 대해서 어떻게 우리가 사고하고 있는지를 다시 재정립 해야 합니다.

어플리케이션과 디바이스들은 기하급수적으로 증가하고 있습니다. 원격근무는 계속 증가합니다. 회사들은 계속해서 클라우드로 그들의 네트워크를 통합하고 있습니다. 정리하자면, 우리는 경계가 없는 현실 속에서 살아가고 일하고 있으며, 우리의 보안 솔루션들은 반드시 거기서 우리를 지키기 위해 계속 발전 해야만 합니다.

현재의 위협들은 지금보다 더 높을 수가 없을 정도로 위험합니다. 우리는 콜로니얼 파이프라인과 같은 중요한 인프라가 공격을 받는 것을 보았습니다. 정부 기관과 농업분야에서도 또한 이러한 압력이 증가하고 있습니다. 심지어 우수한 보안회사들도 해커로 부터 공격을 받았습니다. 그리고 러시아와 우크라이나와의 갈등은 위협을 증가시켜, 누군가가 상상한것 보다 더 심각하게 위협을 증가시켰습니다.

조용히 앉아서 운좋게 또는 느슨한 보안 솔루션이 충분히 작동할 지를 기대하고 있는 것은 더 이상 바람직한 선택지가 아닙니다. 우리는 모두 사람들, IT 자산들, 정부들, 비즈니스와 전체 사회를 보호하기 위해서 새로운 방법이 필요합니다. 

 

[참고: 경계가 없는 현실]

https://securityintelligence.com/articles/iam-secures-perimeterless/

IAM Secures the New, Perimeter-less Reality

 

 

 

보안의 어려운 과제의 수용

증가하는 다량의 위협에도 불구하고, 보안의 전문가들은 이러한 어려움을 유의미한 결과로 도출해 나아가고 있습니다. 예를 들면 IBM에서 발표한 보고서에는 아래의 내용이 포함되어 있는데 

• 회사들이 보안 인공지능과 자동화를 완전히 도입하고 난 후, 1개의 침해당 3.05 백만 달러를 평균적으로 절약하였습니다.
• 평균 2.66 백만 달러의 비용이 절약된 경우, 사고대응 팀이 개입되어 있었으며 정기적으로 사고대응 계획을 테스트 하였습니다.
• XDR 보안기술을 가진 기업들은 대응하는데에 있어서 29일 시간을 절약하였습니다.

아마도 더 이상 어느 누구도 "맥OS에는 PC 바이러스 감염되지 않는다"라고  말할 수 없을 것 입니다. 하지만 우리는 계속해서 보안의 위협을 막아내기 위한 새로운 방법들을 개발할 것입니다. 혁신과 그에 따른 어려운 업무들은 분명 그 값어치가 있습니다. 그리고 이러한 행동이 우리의 미래에 분명 도움이 될 수 있습니다.