새롭게 발견된 PamStealer는 일반적인 macOS 멀웨어와는 다릅니다
(arstechnica.com)
macOS의 인증 시스템인 PAM을 활용해 사용자 비밀번호를 로컬에서 검증한 뒤 탈취하는 새로운 멀웨어 'PamStealer'가 발견되었으며, 이는 기존 탐지 방식을 우회하는 고도화된 은닉 기술을 보여준다는 점에서 보안 업계의 큰 주목을 받고 있습니다.
이 글의 핵심 포인트
- 1Maccy 클립보드 매니저를 사칭한 디스크 이미지 형태로 유포됨
- 2AppleScript와 JXA(JavaScript for Automation)를 사용하여 쉘 명령어를 사용하지 않는 은밀한 실행 체인 구축
- 3Rust 언어로 작성된 2단계 페이로드가 macOS의 PAM 인터페이스를 통해 로컬에서 비밀번호를 검증 후 탈취
- 4Finder나 소프트웨어 업데이트 등 시스템 구성 요소를 사칭하여 사용자 눈을 피함
- 5Full Disk Access 요청 등의 권한 요구를 실행 직후가 아닌 일정 시간(최대 40분) 뒤로 지연시켜 탐지 회피
이 글에 대한 공공지능 분석
왜 중요한가?
기존 macOS 멀웨어가 사용하던 쉘 명령어나 외부 프로세스 호출 대신, 시스템 내장 API와 PAM을 활용해 탐지 가능성을 극도로 낮췄기 때문입니다. 이는 보안 솔루션이 감시하는 '의심스러운 프로세스 체인' 자체를 생성하지 않는 새로운 위협 모델을 제시합니다.
어떤 배경과 맥락이 있나?
최근 macOS 생태계에서는 Swift나 Go 대신 Rust와 같은 저수준 언어를 사용해 성능과 은닉성을 동시에 잡으려는 시도가 늘고 있습니다. 또한, 사용자에게 익숙한 유틸리티(Maccy 등)를 사칭하여 사회 공학적 기법을 결합하는 트렌드가 심화되고 있습니다.
업계에 어떤 영향을 주나?
보안 소프트웨어 개발사들은 이제 단순한 프로세스 모니터링을 넘어, 시스템 API 호출 패턴과 비정상적인 권한 요청의 시차(delay)까지 분석해야 하는 과제에 직면했습니다. 이는 EDR(Endpoint Detection and Response) 기술의 고도화를 요구합니다.
한국 시장에 어떤 시사점이 있나?
macOS를 주 개발 환경으로 사용하는 국내 IT 스타트업과 개발자들은 신뢰할 수 없는 오픈소스 유틸리티 설치에 극도로 주의해야 합니다. 특히 권한 요청이 즉각적으로 발생하지 않는 '지연된 공격' 패턴을 인지하고 보안 가이드라인을 재정립해야 합니다.
이 글에 대한 큐레이터 의견
PamStealer의 등장은 사이버 공격자들이 macOS의 기본 기능을 역이용해 '탐지되지 않는 공격 경로'를 구축하는 데 얼마나 능숙한지를 보여줍니다. 특히 Rust 언어의 채택과 PAM API 활용은 공격자가 단순한 스크립트 수준을 넘어 운영체제의 핵심 메커니즘을 깊게 이해하고 있음을 시사합니다. 스타트업 창업자들은 개발 환경의 보안이 곧 기업 자산의 보안임을 인지해야 합니다.
다만, 이러한 고도화된 공격에 대응하기 위해 모든 외부 소프트웨어 사용을 금지하는 것은 개발 생산성을 심각하게 저해할 수 있다는 트레이드오프가 존재합니다. 따라서 무조건적인 차단보다는, 신뢰할 수 있는 공급망(Supply Chain) 관리와 함께 시스템 API 호출의 이상 징후를 탐지할 수 있는 엔드포인트 보안 솔루션 도입 및 임직원 대상의 사회 공학적 공격 대응 교육이 병행되어야 하는 균형 잡힌 접근이 필요합니다.
댓글
아직 댓글이 없습니다. 첫 댓글을 남겨보세요.