기존에 윈도 등에서 사용되고 있었던 바이러스를 활용해 애플의 맥 운영체제 OS X를 겨냥한 멀웨어가 유포될 수 있다는 점이 개념적으로 증명됐다.
4일(현지시간) 씨넷은 'Clampzok.A'라는 이름의 바이러스를 사용해 OS X의 시스템 상 바이너리 파일을 수정하고 인접한 다른 파일들을 바꾸는 기능을 가진 멀웨어가 등장할 수 있다고 보도했다.
익명의 애플 관련 보안전문가는 '맥 OS X에 대한 리버스엔지니어링(Reverse Engineering Mac OS X)'이라는 블로그에 이와 같은 공격이 가능하다는 점을 밝혀냈다고 설명했다.
Clampzok.A는 지난 2006년 윈도, 리눅스 운영체제에서 처음 개발됐다. 블로그에 따르면 이는 최근 OS X에서 사용되는 32비트 실행파일(Mach-O)에 영향을 주는 방식으로 업데이트가 이뤄졌다.
일반적으로 멀웨어는 시스템의 특정 영역에 숨어 지속적으로 정보를 훔치거나 사용자를 성가시게 하는 기능을 수행하는 트로이 목마, 스파이웨어, 애드웨어 등과 달리 OS X용 멀웨어는 시스템에 지속적으로 뿌려지도록 설계됐다.
웜은 자신의 복제를 시도하지만 다른 파일에는 영향을 주지 않는 것으로 알려졌다. 반면 바이러스는 실행파일의 컴파일된 소스코드에 자신을 집어넣거나 파일의 특정 구조에 들어가 이를 수정한다. 때문에 감염된 파일은 시스템의 기능을 마비시킨다.
OS X용 멀웨어는 '_PAGEZERO' 영역의 정상 바이너리를 수정해 바이러스성 코드를 갖도록 한다. 다른 수정 사항을 반영해 바이러스는 읽기, 실행 영역을 사용할 수 있도록 한다. 그 뒤 바이러스는 바이너리 내에 'LC_UNIXTHREAD' 부분을 수정한다.
이렇게 수정된 바이너리가 실행되면 바이러스 코드는 추가적인 32비트 바이너리 파일을 감염시키고, OS X의 시스템 영역의 '/bin', '/usr/bin' 폴더에 저장된 다른 프로그램들을 수정한다.
관련기사
- 한셀 파일 위장 악성코드, 국내 기관 노려2013.06.05
- 사내 업무용 이메일도 악성코드 주의보2013.06.05
- 좀비PC보다 무서운 '좀비 악성코드' 주의보2013.06.05
- 악성코드 품은 사이트, 5배 증가...1천844개2013.06.05
씨넷에 따르면 이는 OS X 플랫폼에서 영향을 줄 수 있는 최초의 멀웨어나 다름없다. 그러나 실제로 이 같은 멀웨어가 유포된다고 하더라도 큰 영향을 줄 수 있을 것으로 보이지는 않는다.
바이너리 내에 '_PAGEBZERO' 영역에서 바이러스 스캔을 통해 쉽게 감염여부를 확인해 조치를 취할 수 있기 때문이다. 다만 이 공격은 보인인증을 거친 프로그램도 수정하기 때문에 확인된 서명이 더이상 작동하지 않는다. 맥용 앱스토어에 로그인해 앱을 구매하는 등의 행위를 할 수 없게 된다는 점은 불편함으로 작용할 것으로 보인다.
