최근 ‘MacReaper’ 캠페인이 2,800개가 넘는 정상 웹사이트를 악용하여 맥(macOS) 사용자를 겨냥한 AMOS 악성코드를 퍼뜨린 사실이 밝혀졌습니다. 이 공격은 사용자들이 흔히 클릭하는 ‘나는 로봇이 아닙니다’ 확인 절차에 침투하여, 별다른 의심 없이 악성 명령을 실행하도록 유도합니다.

공격이 시작되면 사용자가 감염된 사이트에 접속하는 순간 화면 전체를 가리는 가짜 구글 reCAPTCHA 창이 나타납니다. 사용자가 ‘나는 로봇이 아닙니다’ 버튼을 클릭하면, 악성 스크립트가 백그라운드에서 실행할 명령어를 클립보드에 몰래 복사합니다. 이후 친숙한 macOS 단축키 이미지를 보여주며 터미널을 열고 붙여넣기를 하도록 유도합니다. 사용자가 지시에 따라 명령어를 실행하면, Atomic macOS Stealer(AMOS)라는 악성 프로그램이 설치됩니다.

AMOS는 암호화폐 지갑, 브라우저 쿠키, 키체인에 저장된 비밀번호와 같은 다양한 민감 정보를 탈취할 수 있습니다. 또한, 와이파이 비밀번호, 애플리케이션 로그인 정보, 시스템 정보와 개인 문서를 스캔하며, 50종 이상의 암호화폐 지갑을 식별하고 목표로 삼습니다. 이 악성코드는 텔레그램을 통해 월 최대 3,000달러에 대여 형식으로 거래되며, 범죄 조직 사이에서 이미 널리 사용되고 있습니다.

조사 결과, 공격 인프라에 사용된 주요 도메인으로는 technavix.cloud, salorttactical.top 등이 확인되었습니다. 최초 감염은 브라질의 한 뉴스 사이트(agencia2.jornalfloripa.com.br)에서 시작되었으며, 이후 전 세계 2,800여 개의 합법적인 웹사이트로 확산되었습니다.

이번 사례는 macOS가 완벽히 안전하다는 인식이 잘못되었음을 드러냅니다. 일상적으로 신뢰하는 CAPTCHA 확인 절차가 공격자에게는 훌륭한 심리적 지렛대가 됩니다. 특히 맥과 윈도우를 함께 사용하는 네트워크 환경에서는 한 대의 감염된 맥이 싱글 사인온, 클라우드 저장소, 코드베이스 접근 권한으로 확장될 위험이 있습니다.

다음은 MacReaper 공격으로부터 자신을 보호하기 위한 여섯 가지 보안 수칙입니다.
1) CAPTCHA 요청에 의심을 가지십시오: 정상적인 CAPTCHA는 터미널 명령 복사나 붙여넣기를 요구하지 않습니다. 의심스러운 페이지는 즉시 닫으십시오.
2) 출처가 불분명한 이메일 링크는 클릭하지 말고, 강력한 백신 소프트웨어를 사용하십시오.
3) 가능한 서비스에 이중 인증(2FA)을 활성화하여 추가 보안 장벽을 마련하십시오.
4) 운영체제, 브라우저, 보안 소프트웨어를 항상 최신 상태로 유지하고 자동 업데이트를 권장합니다.
5) 평소 온라인 계정에서 의심스러운 로그인 시도가 있는지 주기적으로 확인하고, 비밀번호를 주기적으로 변경하십시오.
6) 개인 정보 제거 서비스를 활용하여 자신의 정보가 무단으로 사용되거나 유출되는 것을 모니터링하십시오.

결론적으로 공격자는 새로운 취약점을 찾기보다 ‘신뢰’라는 심리적 허점을 이용합니다. 이에 사용자는 기본적인 의심을 생활화하고, 기업은 맥에도 윈도우 못지않은 모니터링 체계를 구축해야 합니다. 보안은 특정 운영체제에 한정된 문제가 아니라 전반적인 사용자 행태와 시스템 관리의 문제임을 잊지 말아야 합니다.