Suspicious Package (무료)
악성코드에 감염된 맥용 소프트웨어가 해킹 도구로 배포되는 사례가 증가함에 따라 점차 심각한 보안 문제로 대두되고 있습니다.
그런데 이런 해킹 도구는 관리자 권한을 요구하는 '패키지' 형태의 파일에 심어져 있는 경우가 대부분입니다. 소프트웨어를 설치할 때 사용자가 무심코 암호를 입력하도록 해 시스템 깊숙한 곳에 커널 확장자나 데몬을 깔아버리죠. 이후 시스템을 시동할 때 해킹 도구도 같이 시작해 피싱 사이트를 띄우거나 외부에 있는 서버로 개인정보를 빼돌리기도 합니다.
듣도 보도 못한 소프트웨어라면 암호를 입력하기 전에 한번쯤 의심은 해볼 텐데, 인지도 높은 소프트웨어에 해킹 도구가 심어져 있으면 크게 대수롭지 않게 여기기 마련이죠. 불과 얼마 전에도 맥용 인기 동영상 플레이어인 MPlayerX 설치 패키지에 악성코드가 심어져 불특정 다수에게 배포된 사례 가 있습니다. 물론 MPlayerX 공식 웹사이트가 아닌 외부 사이트에서 배포된 패키지였습니다.
최소한의 대응 방안
이에 예전에 미심쩍은 프로그램을 설치할 때 내용물을 미리 확인할 수 있는 방법을 예전에 알려드린 적이 있습니다. 인스톨러를 실행한 상태에서 command + i 키를 누르면 어떤 파일이 어떤 폴더에 설치되는지 별도의 창을 통해 파악할 수 있게 됩니다.
그런데 이 방법보다 조금 더 세련된 방법이 있습니다.
OS X에 내장된 훑어보기(QuickLook)의 애드온 형태로 작동하는 'Suspicious Package'를 설치하면 아주 손쉽게 패키지 파일 안을 들여다 볼 수 있게 됩니다. 패키지를 실행할 필요 없이 파인더에서 space 바를 누르면 훑어보기 창이 뜨면서 패키지의 상세 정보가 나타납니다. ▼
우선 훑어보기 하단에는 패키지에 들어 있는 파일이 시스템 내 어떤 폴더로 복사되는지 보여주는 목록이 표시됩니다. ▼
위 예시 이미지는 국내 은행권 사이트를 접속했을 때 내려받는 보안 프로그램을 열어본 것인데요, 보안 프로그램을 삭제할 수 있는 언인스톨러가 응용 프로그램 폴더에 설치되고, 또 웹 브라우저를 위한 플러그인이 라이브러리 폴더에 복사되는 것을 볼 수 있습니다.
만일 무척 단순한 기능을 하는 앱임에도 불구하고 LaunchAgents, LaunchDaemons, Extensions 폴더를 건드린다면 한번쯤 의심을 품어볼 만합니다. 모두 시스템을 시동할 때 같이 시작하는 파일이 담겨 있는 중요한 폴더입니다.
훑어보기 상단에는 개발자가 애플로부터 서명을 받았는지, 또 서명을 받았다면 유효 기간이 언제까지인지를 보여줍니다. 맥용 소프트웨어를 개발하는데 있어 애플의 서명이 필수 요건은 아니지만, 소프트웨어와 개발자의 신뢰성을 파악하는데 충분히 도움이 되는 자료라는 것은 확실합니다. ▼
그밖에 패키지 설치 시 같이 실행되는 스크립트도 훑어볼 수 있습니다. 초보자라면 조금 어려울 수도 있지만 셸 스크립트에 해박한 분은 패키지가 시스템 파일을 변조하지 않는지, 혹은 파일 권한을 임의로 수정하지 않는지 등의 미심쩍은 내용을 미리 파악할 수 있게 됩니다.▼
코멘트 & 다운로드
맥을 노리는 악성코드 소식이나 보안과 관련된 글을 포스팅 하는 빈도가 요즘 들어 부쩍 늘어난 것 같아 안타까울 때가 많습니다. 문제는 앞으로 빈도가 더 늘어날 것 같은 불안한 예감이 든다는 것입니다. 맥 앱스토어가 처음 런칭할 때만 해도 애플의 패쇄적인 개발 환경이나 샌드박스 정책에 대해 다소 비관적인 시각을 가지고 있었는데, 요즘은 오히려 일종의 선견지명이 아니었나 싶습니다.
맥의 보안성과 안정성은 애플과 소프트웨어 개발자들도 많은 주의를 기울여야겠지만, 맥 사용자 스스로 지키는 것이 무엇보다 중요하지 않나 생각합니다. 완벽한 해결책은 아니겠지만 출처가 불확실 한 곳에서 소프트웨어를 내려받았다면 이번에 소개해 드린 방법으로 내용물을 미리 훑어보는 센스를 발휘해 보시기 바랍니다.
Suspicious Package는 다음 링크를 통해 상시 무료로 내려받을 수 있습니다.
Download Suspicious Package $0.00
참조
• Suspicious Package 공식 홈페이지
관련 글
• 미심쩍은 맥용 프로그램을 설치할 때 내용물을 미리 확인하는 방법
• 악성코드급 사파리 확장 프로그램 'SearchMe' 사파리에서 링크를 클릭했는데 'Top Sites'가 뜬다면...
• 애플, 맥을 대상으로 하는 악성코드 'iWorm'에 대한 보안 업데이트 실시
• 애플 운영체제만 노리는 중국발 신종 악성코드 '와이어러커'
from Back to the Mac http://ift.tt/1AOYOU4
via IFTTT