맥 사용자를 노린 랜섬웨어가 최초로 등장해 사용자들의 각별한 주의가 요구되고 있습니다.
나인투파이브맥과 맥루머스 등의 주요외신들은 보안업체 팔로알토네트웍스를 인용해 맥 사용자를 노린 랜섬웨어가 처음으로 발견됐다고 6일(현지시간) 보도했습니다.
'랜섬웨어(Ransomware)'는 이용자의 동의 없이 파일을 잠구고 이를 풀어주는 대신 금전적인 대가를 요구하는 해킹 공격기법을 뜻합니다. 보안회사인 팔로알토네트웍스에서 발견한 이번 랜섬웨어는 맥용 토렌트 클라이언트인 '트랜스미션(Transmission)' 2.90 버전에서 발견된 것으로 ‘KeRanger’라고 명명됐습니다.
사용자가 트랜트미션 공식 사이트에서 내려받은 2.90 버전을 설치하면 3일 동안은 아무런 문제를 일으키지 않습니다. 하지만 3일의 잠복기를 끝내면 해커의 서버에서 암호화 키를 내려받고 컴퓨터의 '/Users' '/Volumes/' 폴더 아래 있는 모든 문서와 이미지, 동영상 파일 등을 암호화하여 사용자가 접근할 수 없도록 만듭니다. 심지어 OS X의 백업 솔루션인 '타임머신'도 사용자가 접근하지 못하도록 만들 수 있다고 합니다.
이후 해커는 피해자에게 암호화 된 데이터를 풀 수 있는 열쇠 프로그램을 전송해 준다며 400달러 상당의 비트코인을 요구하는 것으로 알려졌습니다. 아직 구체적인 피해사례는 나오지 않았지만, 트랜스미션 2.90 버전이 지난 5일에 출시됐으니 3일의 잠복기가 끝나는 오늘부터는 실제로 피해가 일어날 가능성을 배제할 수 없습니다.
트랜스미션 개발팀 측은 6일(현지시각) 자사 웹사이트에 트랜스미션이 랜섬웨어에 감염되었다는 경고를 올리는 한편, 해당 문제를 해결한 버전 2.91로 즉각 업데이트할 것을 당부했습니다.
아울러 맥이 랜섬웨어에 감염됐는 지 확인하는 방법도 같이 공지했습니다. 응용 프로그램 > 유틸리티 > 활성 상태 보기 앱을 켜서 ‘kernal_service’라는 프로세스가 돌아가고 있는 지를 확인합니다. (오른쪽 상단에 있는 검색창을 통해 검색할 수 있습니다) 만약에 있다면, 해당 프로세스를 더블 클릭 한 뒤 ‘파일 및 포트 열기’ 탭에서 '/Users//Library/kernel_service' 라는 파일이 있는 지 확인합니다. 만약에 있다면 곧바로 프로세스를 종료시키고, 타임머신 백업을 한 상황이라면 타임머신을 통해 5일 이전의 백업으로 복구해야 합니다.
업데이트: 트랜스미션 2.91 버전 다음에 나온 2.92 버전은 랜섬웨어 감염유무를 체크하고, 만약 감염되었으면 이를 완벽하게 제거해 주는 기능이 포함되어 있다고 합니다. 앞서 2.90/2.91 버전을 설치한 분은 반드시 트랜스미션 공식 웹사이트를 통해 2.92 버전을 내려받은 후 실행하시기 바랍니다.
한편, 맥을 겨냥한 첫 랜섬웨어에 긴장했는지 애플도 6일(현지시각) OS X의 보안 기능인 Xprotect 블랙리스트를 업데이트하여 트랜스미션 2.90 버전 설치를 원천차단했습니다. 하지만, 이미 랜섬웨어에 감염된 상황에서는 타임머신을 이용해 트랜스미션 2.90 버전이 설치되기 전으로 데이터를 복구하거나 트랜스미션 2.92 버전을 실행해 랜섬웨어를 삭제해야 합니다.
참조
• Paloalto Networks - New OS X Ransomware KeRanger Infected Transmission BitTorrent Client Installer
• The Gear - 시스템 잠그고 몸값 노리는 맥용 랜섬웨어 첫 발견
관련 글
• 맥용 토렌트 클라이언트 '트랜스미션' 2년여 만에 개발 재개
• 맥용 애드웨어 제거 도구 'Malwarebytes Anti-Malware'
• 맥용 안티바이러스 제품 13종 2015 AV-Test 결과
• 잘 알려지지 않은 OS X 보안 체계의 한 기둥 'XProtect'
from Back to the Mac http://ift.tt/1ULBXlm
via IFTTT