Home > 전체기사
맥용 멀웨어 프루트플라이, 약한 비밀번호 타고 창궐했다
  |  입력 : 2018-10-02 16:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
올해 1월에 기소된 용의자, 13년 동안 각종 염탐 행위에 멀웨어 사용
감염 경로는 작년 FBI 문건 통해 밝혀져...외부 프로토콜의 약한 비밀번호가 문제


[보안뉴스 문가용 기자] 지난 13년 동안 수만 대의 맥(Mac) 기기들을 감염시킨 멀웨어가 있다. 바로 프루트플라이(FruitFly)다. 최근 이 프루트플라이에 대한 새로운 소식이 발견됐다.

[이미지 = iclickart]


프루트플라이는 2017년 초에 처음 상세히 공개된 것으로 퀴밋친(Quimitchin)이라는 이름으로도 알려져 있다. 개인, 회사, 학교, 경찰서, 미국 정부 기관의 컴퓨터들을 감염시켜왔다. 이 중에는 미국 에너지부와 관련이 있는 시스템도 포함되어 있다. 그렇지만 프루트플라이는 너무나 먼, 아직은 안개 속에 있는 것 같은 존재였다.

그런 가운데 올해 1월 미국 사법부는 필립 R 듀라친스키(Phillip R. Durachinsky)라는 오하이오 거주자를 기소했다. 프루트플라이를 13년 동안 악의적은 목적으로 사용해왔다는 것이었다. 기소장에 따르면 듀라친스키는 프루트플라이를 어뷰징 함으로써 개인정보를 훔치고 사람들을 염탐해왔다고 한다. 심지어 아동 포르노그래피와 관련된 행위도 있었다고 한다.

듀라친스키는 프루트플라이를 사용해 기기를 감염시키고 통제했다고 한다. “기기에 저장된 데이터에 접근하고, 파일들을 업로드하며, 스크린샷을 다운로드 했을뿐만 아니라 기기 사용자의 키스트로크도 로깅하고 카메라와 마이크를 켜서 이미지와 오디오를 몰래 기록했다”고 고소장에는 묘사되어 있다.

그가 프루트플라이를 통해 한 짓은 꽤나 명백하게 드러났다. 그러나 기소장을 통해 그 어떤 보안 전문가들도 듀라친스키의 최초 감염 경로를 이해할 수는 없었다. 사법부도 이 부분에 대해서는 크게 설명하지 않고 있었다.

하지만 이는 진작 풀린 문제였다. FBI가 2017년 3월 ‘플래시 알러트(Flash Alert)’를 통해 프루트플라이 혹은 퀴밋친 멀웨어에 대해 상세히 발표했기 때문이다. 최근 보안 전문가 한 사람이 이 문건을 발굴함으로써 프루트플라이는 물론 듀라친스키의 과거 행적에 대한 실마리가 풀리기 시작했다.

결론부터 말하면 듀라친스키는 보안 조치가 잘 되어 있지 않은 외부 서비스들을 통해 멀웨어를 심은 것으로 밝혀졌다. 보고서에 따르면 프루트플라이 공격은 “외부로 노출된 맥 서비스를 스캔하고 파악해내는 작업을 먼저 진행함으로써 시작된다”고 한다. “애플 파일링 프로토콜(AFP, 548번 포트), RDP, VNC, SSH(22번 포트), 백 투 마이 맥(BTMM) 등이 여기에 포함됩니다. 비밀번호가 약하게 설정되어 있거나, 다른 보안 사고로 유출된 비밀번호를 통해 이 부분을 장악하는 것이 그 다음이죠.”

보고서를 발견한 건 맥OS 보안 전문 기업 디지타 시큐리티(Digita Security)의 창립자인 패트릭 워들(Patrick Wardle)이다. 그는 FBI의 이 문건을 통해 “듀라친스키가 멀웨어를 통해 피해자들을 염탐한 것은 물론, 다른 시스템들에도 추가 감염을 일으켰음을 알 수 있었다”고 설명한다.

“듀라친스키는 포트가 노츨된 맥 시스템을 인터넷에서 스캔해서 찾아낸 것으로 보입니다. 그 중에서 익스플로잇이 가능한 것들을 골라내고, 널리 사용되는 약한 비밀번호들을 대입해서 장악한 것이죠. 그런 식으로 시스템을 장악한 후에는 프루트플라이를 심어 지속적인 접근을 가능하게 했습니다.”

이렇게 외부에서의 원격 관리를 위한 프로토콜들 중 보안이 제대로 되어 있지 않은 곳을 통해 멀웨어를 심는 방법은 오래된 것이다. 원격 데스크톱 프로토콜(RDP)를 통해 포트를 노출시킨 엔드포인트들이 수천 만대 있기 때문에 해커들 사이에서 자주 사용될 수 있는 기법이다. “이러한 기법은 랜섬웨어 공격자들이 특히 많이 사용하는데요, 스팸 공격보다 더 인기가 높습니다.” 워들의 설명이다.

4줄 요약
1. 13년 동안 맥 시스템 다수 장악해온 프루트플라이 멀웨어.
2. 공격자는 이미 1월에 기소됐으나, 최초 감염 경로는 밝혀지지 않았음.
3. 그러다 작년에 발표된 FBI 문서 하나가 발굴됨으로써 수수께끼가 풀림
4. 공격자는 원격 관리 프로토콜에 약한 비밀번호를 대입함으로써 시스템을 장악한 후 멀웨어를 심는 방법을 사용하고 있었음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)