북한 라자루스 그룹의 새로운 macOS 악성코드 캠페인이 일상적인 비즈니스 통화를 암호화폐 및 핀테크 기업으로부터 수백만 달러를 탈취하기 위한 관문으로 악용하고 있습니다.
뒤로
뒤로
라자루스 그룹, 5억 달러 탈취 후 새로운 Mac 악성코드 배포
북한 정부가 지원하는 해킹 조직인 라자루스 그룹(Lazarus Group)이 암호화폐 및 핀테크 분야의 경영진을 겨냥한 'Mach-O Man'이라는 새로운 macOS용 다단계 악성코드를 배포하고 있습니다. 2026년 4월 중순에 확인된 이 캠페인은 지난 한 달 동안에만 5억 달러 이상의 암호화폐 탈취를 주도한 그룹과 연관된 것으로 밝혀졌습니다.
CertiK의 수석 블록체인 보안 연구원인 나탈리 뉴슨(Natalie Newson)은 코인데스크와의 인터뷰에서 "현재 라자루스가 특히 위험한 이유는 그들의 활동 수준 때문"이라며, "이것은 단순한 무작위 해킹이 아닙니다. 일반적인 금융 기관의 규모와 속도로 운영되는 국가 주도의 금융 작전입니다"라고 설명했습니다.
이 공격은 'ClickFix'라고 불리는 사회 공학적 기법을 사용하여 텔레그램을 통해 피해자를 가짜 Zoom 또는 Google Meet 회의로 유인합니다. 이후 조작된 오류 메시지를 통해 사용자가 맥의 터미널에 명령어를 입력하도록 유도하며, 이 과정에서 시스템의 보안 제어를 우회하여 악성코드를 설치합니다. 최종 페이로드인 Macrasv2는 텔레그램 봇을 통해 브라우저 데이터, 쿠키, 민감한 macOS 키체인(Keychain) 항목을 유출합니다.
이번 캠페인은 암호화폐 프로젝트의 운영 보안 위험을 크게 높이고 있습니다. 최근 2억 9,200만 달러 규모의 KelpDAO 및 2억 8,500만 달러 규모의 Drift 익스플로잇 사례에서 볼 수 있듯이, 개발자나 경영진의 자격 증명이 노출되면 막대한 손실로 이어질 수 있습니다. 악성코드의 모듈식 구조와 다른 사이버 범죄 조직의 사용 가능성은 위협이 더욱 확산될 것임을 시사하며, 기업들은 직원들의 신뢰 기반 행동에서 시작되는 공격에 대비해야 하는 상황입니다.
'Mach-O Man' 공격이 macOS 보안을 우회하는 방법
Mach-O Man 캠페인의 주요 혁신은 사회 공학 기법을 활용하여 애플의 내장 보안 기능을 무력화한다는 점입니다. 공격은 타겟이 텔레그램과 같은 플랫폼에서 신뢰할 수 있는 동료로부터 Zoom, Microsoft Teams 또는 Google Meet 회의를 위한 긴급한 초대를 받으면서 시작됩니다.
링크를 클릭하면 접속 문제가 발생한 것처럼 꾸민 정교한 가짜 웹페이지로 연결됩니다. 문제를 '해결'하기 위해 사이트는 사용자에게 맥의 터미널 앱에 코드 한 줄을 복사하여 붙여넣도록 지시합니다. 사용자가 직접 명령어를 실행하기 때문에, 확인되지 않은 애플리케이션을 차단하는 게이트키퍼(Gatekeeper)와 같은 macOS 보안 기능이 우회됩니다.
실행 시 명령어는 teamsSDK.bin이라는 초기 바이너리를 다운로드합니다. 그 후 악성코드는 가짜 앱 번들을 다운로드하고, 번역은 어색하지만 실제 시스템 프롬프트처럼 보이는 창을 반복적으로 띄워 피해자에게 비밀번호를 요구함으로써 필요한 권한을 획득합니다.
흔적을 남기지 않는 자가 파괴형 도둑
악성코드는 4단계로 작동합니다. 초기 감염 후, 프로파일러 모듈이 호스트 이름, CPU 상세 정보, 네트워크 설정 등 시스템 정보를 수집하고 공격자의 명령 및 제어(C2) 서버에 피해자를 등록합니다.
다음으로 minst2.bin이라는 지속성 모듈이 재부팅 후에도 악성코드가 살아남도록 보장합니다. 이 모듈은 com.onedrive.launcher.plist라는 LaunchAgent plist 파일을 생성하여, 매 로그인 시 'OneDrive' 또는 '백신 서비스' 프로세스로 위장해 악성코드를 다시 실행합니다.
마지막 단계는 Macrasv2로 명명된 페이로드인 스틸러(Stealer) 자체입니다. 이 구성 요소는 크롬, 파이어폭스, 사파리, 브레이브 등 브라우저 확장 프로그램에서 데이터를 추출하도록 설계되었습니다. 저장된 자격 증명, SQLite 데이터베이스의 쿠키, macOS 키체인의 민감한 항목을 노립니다. 수집된 데이터는 압축되어 텔레그램 봇 API를 통해 유출되며, 이후 악성코드는 시스템에서 자신의 흔적을 대부분 삭제합니다.
해커가 해킹당하다
주목할 만한 반전으로, 공격자들의 운영 보안 역시 허술했던 것으로 드러났습니다. 위협 인텔리전스 기업 BCA Ltd.의 설립자인 마우로 엘드리치(Mauro Eldritch)는 라자루스 그룹의 C2 인프라에서 두 가지 치명적인 취약점을 발견했습니다.
엘드리치의 보고서에 따르면, 악성코드의 코드에 데이터 유출에 사용된 텔레그램 봇의 API 토큰이 노출되어 있었습니다. 연구원들은 이 키를 통해 봇의 소유자를 식별하고 스팸으로 채널을 방해할 수 있었습니다. 또한, C2 서버에는 무제한 파일 업로드를 허용하는 결함이 있어 연구원들이 공격자의 인프라에 정크 데이터를 대량으로 전송하여 가동 중단을 유발할 수 있었습니다. 비록 이는 해커들에게 일시적인 타격을 주었으나, Mach-O Man 악성코드 키트는 여전히 활발하게 진화하는 위협으로 남아 있습니다.
본 기사는 정보 제공만을 목적으로 하며 투자 조언을 구성하지 않습니다.