북한과 연계된 해킹 그룹이 애플 맥(Mac) 운영체제(macOS) 사용자를 노린 새로운 유형의 악성코드 ‘님도어(NimDoor)’를 활용해 암호화폐 기업들을 상대로 사이버 공격 캠페인을 벌이고 있는 것으로 드러나 심각한 보안 경고가 제기되고 있다. 사이버 보안 전문 기업 센티넬 랩스(Sentinel Labs)가 최근 발표한 보고서에 따르면, 공격자들은 텔레그램과 같은 메시징 앱에서 신뢰할 수 있는 인물로 위장한 뒤, 구글 미트 링크를 통해 가짜 줌(Zoom) 회의를 요청하고 줌 업데이트 파일처럼 보이는 악성 파일을 전송하는 수법을 사용하고 있다.
과거 맥 컴퓨터는 윈도우 기반 시스템에 비해 해킹과 악성코드로부터 비교적 안전하다는 인식이 지배적이었으나, 이번 ‘님도어’ 사례는 이러한 통념이 더 이상 유효하지 않음을 분명히 보여주고 있다. 사용자가 ‘업데이트’ 파일을 실행하면, ‘님도어’ 악성코드가 맥 컴퓨터에 설치되어 암호화폐 지갑 정보와 브라우저 비밀번호를 탈취하도록 설계되어 있다. 이 공격 방식 자체는 소셜 엔지니어링을 활용한 일반적인 수법에 속하지만, ‘님도어’ 악성코드가 ‘님(Nim)’이라는 흔치 않은 프로그래밍 언어로 작성되었다는 점이 주목할 만하다. 님은 비교적 새롭고 덜 알려진 언어로, 윈도우, 맥, 리눅스 등 다양한 운영체제에서 변경 없이 실행될 수 있다는 특징을 지닌다. 또한 코드를 빠르게 컴파일하고 독립 실행 파일을 생성할 수 있으며, 보안 소프트웨어에 의해 탐지하기 매우 어렵다는 장점 때문에 최근 사이버 범죄자들 사이에서 인기를 얻고 있는 추세이다. 센티넬 랩스 연구원들은 “초기 공격 단계는 소셜 엔지니어링, 유인 스크립트, 가짜 업데이트 등 북한의 일반적인 패턴을 따르지만, macOS에서 님(Nim)으로 컴파일된 바이너리를 사용하는 것은 이례적인 선택”이라고 설명했다. 북한과 연계된 위협 행위자들은 이전에도 고(Go)나 러스트(Rust)와 같은 프로그래밍 언어를 실험해왔지만, 님(Nim)은 이들보다 훨씬 더 큰 이점을 제공한다고 센티넬 랩스 연구원들은 분석했다. 악성코드의 페이로드(payload)는 “브라우저 및 시스템 수준 정보를 조용히 추출, 패키징하여 외부로 유출하도록 설계된” 자격 증명 탈취 기능을 포함하고 있으며, 텔레그램의 암호화된 로컬 데이터베이스와 복호화 키를 훔치는 스크립트도 포함되어 있다.
또한 보안 스캐너의 탐지를 피하기 위해 10분 동안 기다린 후 활성화되는 ‘스마트 타이밍’ 전략을 사용하는 것도 특징이다. 사이버 보안 솔루션 제공업체 헌트리스(Huntress)는 지난 6월 유사한 악성코드 침투가 북한의 국가 지원 해킹 그룹 ‘블루노로프(BlueNoroff)’와 관련이 있다고 보고하기도 했다. 연구원들은 이 악성코드가 애플의 메모리 보호를 우회하여 페이로드를 주입할 수 있었다는 점에서 주목할 만하다고 밝혔다. 해당 악성코드는 키로깅, 화면 녹화, 클립보드 검색 기능을 포함하며, “암호화폐 탈취에 중점을 둔” ‘크립토봇(CryptoBot)’이라는 전체 기능의 정보 탈취기를 포함하고 있어 브라우저 확장 프로그램을 침투하여 지갑 플러그인을 노리는 것으로 알려졌다.
최근 슬로우미스트(SlowMist)는 수십 개의 가짜 파이어폭스(Firefox) 확장 프로그램과 관련된 “대규모 악성 캠페인”에 대해 사용자들에게 경고한 바 있다. 이러한 일련의 사건들은 맥 사용자들이 더 이상 사이버 공격으로부터 안전하지 않다는 명확한 메시지를 던지고 있다. 특히 국가 지원을 받는 고도로 정교한 공격자들의 표적이 되고 있는 만큼, 맥 사용자들도 운영체제 업데이트, 신뢰할 수 없는 파일 실행 금지, 이중 인증 설정 등 철저한 보안 수칙 준수가 필수적이다. 암호화폐 자산을 보유한 사용자들은 더욱 각별한 주의가 요구된다.