애플 맥OS를 노리는 신종 랜섬웨어가 등장했다. 백업 데이터 복구를 막기 위해 타임머신 백업 파일까지 암호화한다.
팔로알토네트워스코리아(대표 최원식)는 맥용 운영체제 OS X를 겨냥한 랜섬웨어가 등장했다고 7일 밝혔다.
‘키레인저(KeRanger)’로 명명된 이 랜섬웨어는 맥용 파일공유 클라이언트 ‘트랜스미션 비트토렌트’ 설치 프로그램을 통해 유포됐다. 지난 2014년 발견된 파일코더와 달리 OS X 플랫폼에서 작동하는 최초 랜섬웨어다.
‘트랜스미션’은 오픈소스 프로젝트다. 공식 웹사이트가 손상됐을 가능성과 파일이 재컴파일 된 악성버전으로 교체됐을 가능성 등이 제기된다. 정확한 감염 경로는 확인되지 않았다.
키레인저 애플리케이션은 유효한 인증서로 개발됐다. 애플 게이트키퍼 보안을 우회한다. 사용자가 감염된 애플리케이션을 설치하면 내장된 랜섬웨어 실행파일이 시스템에서 작동한다. 키레인저는 3일간 잠복한 후 토르(Tor) 익명 네트워크로 명령·제어(CnC)와 연결된다.
특정 유형 문서와 데이터 파일을 암호화하고 400달러 상당 비트코인 지불을 요구한다. 키레인저는 여전히 활성화된 상태다. 데이터 복구를 막기 위해 백업파일까지 암호화를 시도한다.
팔로알토네트웍스는 최초 발견 일시인 지난 4일 트랜스미션 프로젝트와 애플 측에 랜섬웨어 문제를 고지했다. 애플은 악용된 인증서를 취소하고 엑스프로텍트(XProtect) 안티바이러스 시그니처를 업데이트 했다. 트랜스미션 프로젝트는 해당 웹 사이트에서 악성 설치 프로그램을 제거하는 조치를 취했다.
한국 시간으로 3월 5일 오전 4시부터 3월 6일 낮 12시 사이에 트랜스미션 공식 웹사이트에서 설치 프로그램을 직접 다운로드 받은 사용자는 키레인저에 감염됐을 가능성이 높다. 이전 버전 트랜스미션 이용자는 현재까지 영향이 없는 것으로 알려졌다.
<트랜스미션 비트토렌트 설치 파일 관련 랜섬웨어 보안 검사 프로세스(자료:팔로알토네트웍스)>
박정은기자 jepark@etnews.com