macOS는 강력한 보안 평판에도 불구하고, 점점 더 정교하고 다양한 위협의 표적이 되고 있습니다. M1 및 M2 칩 과 같은 최신 Apple 하드웨어 보안 기능에 악성코드가 적응하는 것은 점점 더 심각해지는 위험을 시사합니다. macOS의 위협 환경은 서비스형 악성코드(MaaS)를 통한 악성코드 산업화와 Go 및 Rust와 같은 크로스 플랫폼 프레임워크의 사용이 특징입니다.
정보 도둑(Infostealers)
인포스틸러는 macOS에 가장 널리 퍼진 위협으로 남아 있습니다. 이들의 주요 목표는 민감한 데이터를 수집하는 것이며, 최근 진화된 악성코드는 고급 소셜 엔지니어링과 일반적인 사용자 행동을 악용하여 Gatekeeper 와 같은 내장 보안 기능을 우회합니다 .
기술 분석 및 주목할 만한 사례
| 위협 가족 | 기술 세부 사항 | 분포/감염 벡터 |
| Atomic Stealer (AMOS) 패밀리 | 2024년에 유행할 것으로 예상되는 Poseidon(일명 Rodrigo) 과 Cuckoo 와 같은 변종 악성코드입니다 . 이 악성코드는 AppleScript(osascript)를 악용하여 숨겨진 답변 매개변수를 사용하여 사용자를 속여 macOS 비밀번호를 알아낸 후, 이를 통해 키체인을 잠금 해제하여 자격 증명을 탈취합니다. 최신 변종은 암호화된 문자열 과 원격으로 로드된 AppleScript를 사용하여 공격을 회피합니다. | 악성 광고 (Google/Bing 광고)와 악성 GitHub 저장소 에 크게 의존하여 사용자가 Gatekeeper를 우회하는 악성 한 줄 터미널 명령을 실행하게 만드는 경우가 많습니다 . |
| 반시 | 2024/2025년에 발견되었으며 , Apple XProtect를 우회할 수 있습니다. dscl /Local/Default -authonly 명령을 사용하여 사용자 비밀번호를 검증하고 , 분석 방지 기능(예: 러시아어 시스템 우회)을 사용합니다. 키체인, 브라우저, 지갑을 표적으로 삼습니다. | Obsidian과 같은 합법적인 앱으로 위장하여 MaaS를 통해 배포되는 경우가 많습니다. |
| 파이스틸러 | 파이썬 기반 정보 탈취범(2024년 발견). 광범위한 안티 VM 검사를 수행 하고 AppleScript를 사용하여 비밀번호 입력을 유도합니다. Discord 웹훅 및 원격 서버를 통해 데이터를 유출합니다 . | PDF 문서로 위장한 디스크 이미지를 통해 배포됩니다. |
| 크툴루 스틸러 | Go 기반 MaaS 정보 탈취범(2024년 관찰). 사용자 인증 정보, 암호화폐, 게임 계정을 탈취합니다. 사용자가 Gatekeeper 경고를 무시하도록 요구합니다 . | 가짜 애플리케이션(예: CleanMyMac, Adobe GenP)을 통해 확산됩니다. |
| 클라우드챗 인포스틸러 | Go 기반 스틸러 (2024년 관측). 중국 시스템을 우회하기 위해 위치 정보 확인을 수행합니다. FTP 및 Telegram 봇을 통해 암호화 키 교환 및 데이터 유출을 위한 클립보드 모니터링 기능을 제공합니다 . | 가짜 화상 회의 앱(CloudChat)을 통해 배포되었습니다. |
| 프리지드스틸러 | 브라우저 자격 증명 과 세션 쿠키를 훔치는 데 중점을 둡니다 . | 일반적으로 가짜 소프트웨어 다운로드를 통해 퍼집니다. |
백도어와 트로이 목마
백도어와 트로이 목마는 공격자에게 지속적이고 은밀한 접근 권한을 제공하거나 사용자를 속여 맬웨어를 설치하게 하여 더 광범위한 침해를 위한 발판을 마련합니다. 크로스 플랫폼 언어(Rust/Go)로 백도어를 작성하는 추세는 다중 플랫폼 타겟팅을 간소화합니다.
기술 분석 및 주목할 만한 사례
| 위협 범주 | 위협 가족/이름 | 기술 세부 사항 | 감염 벡터 |
| 백도어 | RustDoor (일명 ThiefBucket) | Rust로 작성된 정교한 백도어는 크로스 플랫폼 개발을 간소화합니다. 랜섬웨어 그룹과 연관되어 있습니다 (2024년). | 트로이 목마가 포함된 애플리케이션을 통해 전달됩니다. |
| 스펙트럴블러 | 북한 APT (지능형 지속 위협) 조직 과 연결된 백도어입니다 . 감시를 위해 업로드, 다운로드 및 실행 기능을 제공합니다. | 트로이 목마가 포함된 애플리케이션이나 다운로더를 통해 전달됩니다. | |
| HZ 쥐 | 공격자에게 감염된 시스템에 대한 완전한 원격 제어권 (원격 액세스 트로이 목마)을 부여합니다. | 일반적으로 다운로더에서 페이로드로 제공됩니다. | |
| 주루 | 합법적인 앱 Termius 의 트로이 목마 버전 내부에 숨겨진 새로운 변종이 발견되었습니다 . 사용자 신뢰를 악용하고 수동 보안 재정의를 요구함으로써 게이트키퍼를 우회합니다 . | 트로이 목마가 포함된 애플리케이션. | |
| 트로이 목마 | Shlayer 트로이 목마 | 널리 배포된 트로이 목마입니다. 다른 악성 페이로드를 다운로드하고 실행하는 것이 특징입니다. | 가짜 소프트웨어 업데이트나 악성 웹사이트를 통해 배포됩니다. |
| 엑스코드스파이 | 소프트웨어 개발자를 특별히 표적으로 삼아 변조된 Xcode 프로젝트 에 침투하는 트로이 목마입니다 . 지속적인 백도어를 생성합니다. | 악성 Xcode 프로젝트가 개발자들 사이에 공유되었습니다. | |
| 러스트버킷 | 가짜 PDF 앱을 사용하여 Gatekeeper를 우회하는 정교한 백도어 트로이 목마 (2023년)입니다. 추가 악성코드 설치 및 감시가 가능합니다. | 가짜 PDF 애플리케이션으로 위장됨. |
랜섬웨어
역사적으로는 흔하지 않았지만, 랜섬웨어는 macOS에서 진화하고 있습니다. 사이버 범죄자는 취약점을 악용하여 최신 Apple Silicon 칩 의 보안 조치를 우회할 수 있으며, 이는 사용자에게 잠재적 위험을 초래할 수 있습니다 .
기술 분석 및 주목할 만한 사례
| 위협 가족/이름 | 기술 세부 사항 | 영향/역량 |
| 잠금 해제 (2024년) |
Windows LockBit 변종을 macOS에 적용한 랜섬웨어입니다. 파일 암호화 및 데이터 유출 에 대한 개념 증명 기능을 입증했습니다 . Gatekeeper를 우회 하고 M 시리즈 칩 의 취약점을 악용할 수 있습니다 . | 파일을 암호화하고 몸값을 요구합니다. Apple Silicon 기반 개념 증명. |
| 이블퀘스트 (2020) |
파일 암호화 와 데이터 유출을 결합한 악성 코드입니다 . 초기 macOS 랜섬웨어 위협 중 가장 포괄적인 위협 중 하나입니다. | 운영을 마비시키고 데이터 침해를 일으킵니다. |
| 알바트 랜섬웨어 (2025년) |
2025년에 macOS를 표적으로 삼아 특정 확장자를 가진 파일을 선택적으로 암호화하고 합법적인 도구를 활용해 탐지를 회피하도록 발전했습니다. | 대상 파일 암호화. |
| 맥랜섬 (2017) |
최초의 macOS 랜섬웨어 제품군 중 하나입니다. | 암호 해독을 위해 비트코인 지불을 요구합니다. |
| 케레인저 | 초기의 주목할 만한 macOS 랜섬웨어. | 파일 암호화. |
제로데이 공격 및 공급망 공격
이러한 범주는 가장 위험하고 탐지하기 어려운 위협 중 일부를 나타내며, 정교하고 타겟이 분명한 캠페인에 자주 사용됩니다.
기술 분석 및 주목할 만한 사례
| 위협 범 주 |
위협 패밀리/예 | 기술 세부 사항 | 영향 |
| 제로데이 익스플로잇 | CVE-2025-43300 | Apple의 ImageIO 프레임워크 에 범위를 벗어난 쓰기 취약점이 있습니다 . | 공격자에게 장기간 감지되지 않은 액세스를 제공하며, 종종 악의적으로 작성된 파일(예: 손상된 이미지)을 통해 트리거됩니다. |
| 공급망 공격 | 이베이시브판다 | 손상된 소프트웨어나 배포 채널을 통해 사용자를 감염시키는 다운로더 캠페인입니다 . | 신뢰할 수 있는 소프트웨어에 악성 페이로드를 삽입하여 동시에 많은 피해자 그룹에 영향을 미칩니다. |
| 샤이-훌루드 웜 | npm 생태계를 표적으로 삼은 공급망 공격 (2025년). | 감염된 패키지에 의존하는 애플리케이션을 손상시킵니다. | |
| 라이트스파이 | macOS, iOS, Android, Windows에 영향을 미치는 크로스 플랫폼 감시 프레임워크로, 종종 중국 APT 그룹과 관련 이 있습니다 . | 광범위한 감시와 데이터 유출이 가능합니다. |
새로운 위협과 진보된 위협
이 카테고리에서는 AI의 역할과 기본 하드웨어 기능의 활용을 포함한 새로운 트렌드와 방향을 강조합니다.
기술 분석 및 주목할 만한 사례
| 위협 범주 | 위협 패밀리/예 | 기술 세부 사항 | 영향/역량 |
| AI 기반 위협 | 해당 없음 | AI는 시그니처 기반 탐지를 동적으로 회피할 수 있는 다형성 악성코드 변종 생성을 자동화합니다 . 또한 매우 설득력 있고 효과적인 피싱 미끼를 개발합니다 . | 소셜 엔지니어링과 기존 보안 솔루션의 동적 회피에 대한 성공률이 높아졌습니다. |
| M1/M2 네이티브 맬웨어 | 실버 스패로 (2021) | Apple M1 칩에서 기본적으로 실행되도록 설계된 최초의 악성코드 중 하나입니다 . 가짜 Adobe Flash 업데이트를 사용하여 원격 명령을 실행할 수 있었습니다 . | Apple Silicon에서 네이티브 실행이 가능하다는 것을 입증하여, 처음에는 30,000대 이상의 Mac을 감염시켰습니다. |
| 다운로더 | CloudFake, RustyAttr, DPRK 다운로더 | 이들은 다층적 캠페인 의 핵심인 1단계 로더 입니다 . 최종적으로 더 악의적인 페이로드(예: 백도어 또는 스틸러)를 다운로드하기 전에 초기 교두보를 구축합니다. | 초기 침해와 최종 페이로드를 분리하여 다단계 공격을 용이하게 하고 탐지를 더욱 어렵게 만듭니다. |
방어를 위한 권고사항
현재 macOS 위협 환경의 복잡성으로 인해 성숙하고 신뢰할 수 있는 보안 태세가 필요합니다.
- 시스템 및 애플리케이션 업데이트: 패치를 신속하게 적용하는 것은 CVE-2025-43300에서 언급된 것과 같은 악용 가능한 결함을 닫아 위험을 완화하는 가장 효과적인 방법입니다.
- 강화된 엔드포인트 보안(EDR): 고급 행동 분석을 탑재한 엔드포인트 탐지 및 대응(EDR) 솔루션을 구축하세요. 이러한 도구는 다음과 같은 의심스러운 활동을 탐지할 수 있습니다.
- * osascript숨겨진 매개변수가 있는 명령(AMOS에서 사용). 자격 증명 검증을 위한
* 무단 dscl명령(Banshee/PyStealer에서 사용). - * curl임시 디렉토리에서 예기치 않은 요청이나 바이너리가 실행되고 있습니다( /tmp/).
- * osascript숨겨진 매개변수가 있는 명령(AMOS에서 사용). 자격 증명 검증을 위한
- 선제적 위협 사냥: 보안 팀은 지속성을 확립하기 위해 적극적으로 침해 지표(IoC), 특히 의심스러운 plist파일을 찾아야 합니다 ~/Library/LaunchAgents/.
- 사용자 교육: 사용자 교육은 중요한 방어 수단입니다. 직원들은 다음과 같은 상황을 인지하고 예방하도록 교육받아야 합니다.
- * 악성 광고 및 가짜 다운로드 사이트.
- * 시스템 비밀번호를 입력하라는 의심스러운 대화 상자.
- * 신뢰할 수 없는 웹사이트에서 복사한 터미널 명령을 실행합니다.
EMSISOFT는 윈도우 운영체제 외에 이제 MacOS용 클라이언트를 베타로 지원하고 있습니다. 26년 1분기에 정식 출시를 예고하고 있습니다. Mac용 사용은 my.emsisoft.com 클라우드 중앙관리 대시보드에서 전용 파일을 다운로드하여 사용해 보실 수 있으며, EMSISOFT 비즈니스 또는 엔터프라이즈 라이선스에서 사용하실 수 있습니다.
감사합니다.
(주)소프트메일
EMSISOFT 안티랜섬웨어 & EDR - 랜섬웨어 감염 예방
EMSISOFT 안티랜섬웨어 EDR 백신 제품은 위협 탐지 및 대응 기능을 갖춘 EDR을 갖춘 강력한 보안 제품입니다. 개인용 및 서버를 위한 백신과 안티랜섬웨어 제품으로 PC 및 윈도우서버를 보호하세요
www.emsisoft.co.kr
'Emsisoft 안티멀웨어' 카테고리의 다른 글
| 백신에서 예외처리에 신중해야 - 파일, 폴더 및 프로세스 제외 (0) | 2025.10.18 |
|---|---|
| EMSISOFT 9월 업데이트 (재부팅 필요) (0) | 2025.10.13 |
| EMSISOFT for Mac 버전 베타판 출시 안내 (1) | 2025.09.23 |
| EMSISOFT 랜섬웨어 통계 - 2025년 여름 (0) | 2025.09.18 |
| Emsisoft Anti-Malware의 VB100 2025년 6월 인증: 타협 없는 정밀성 (2) | 2025.08.14 |