이전 몇 년 동안 웹캠이나 마이크를 타깃으로 해 개인의 활동을 녹화하는 멀웨어들이 존재해 왔다. 또한 NSAsms 개인의 웸캠을 원격에서 켜는 코드를 개발해왔다. 이들은 윈도우즈 운영체제에 대한 멀웨어로 맥(Mac)에서는 사용자에게 해당 디바이스를 사용하게 됨을 알리는 경고창이 존재했다.
그러나 지난 목요일 바이러스 블레틴(Virus Bulletin) 컨퍼런스에서 Synack사의 Patrick Wardle은 새로운 공격이 나타났다고 밝혔다. 다수의 멀웨어 샘플을 분석한 후 Wardle는 공격자가 쉽게 경고창을 보이지 않게 할 수 있다고 설명했다.
이 공격은 다음과 같이 진행된다.
멀웨어는 시스템에서 은밀하게 사용자가 초기화하는 페이스타임이나 스카이프 영상 통화 같은 비디오 세션이 있는지 감시한다. 그런 후 은밀히 해당 세션을 녹화하기 위해 웹캠이나 마이크를 피기백(piggyback)한다. 사용자가 이미 기능을 활성화 했기 때문에 오디오나 비디오를 녹화하는 악성코드의 활동은 경고창을 통해 보이지 않는다.
Wardle는 사용자가 그들의 웹캠이나 마이크를 사용하는 상황은 일반적으로 기자가 정보원과 이야기하거나, 중요한 사업 미팅, 개인적인 페이스타임 대화 등 더욱 민감한 내용들인 경우가 많다고 설명하면서 해당 공격의 위험성을 알려왔다.
그가 제작한 툴인 ‘오버사이트(Oversight)’는 사용자가 마이크로폰을 사용할 때 비디오를 피기백하는 웹캠 연결을 막고 사용자에게 경고하는 기능을 한다. 만약 멀웨어가 웹캠 세션을 피기백하려하면, 해당 앱은 사용자에게 그것을 막겠다는 경고를 주게 된다. Wardle는 보안전문가나 시스템 관리자가 더 자세한 분석을 할 수 있게 하기 위해 프로세스를 로그하는 기능을 갖고 있다고 설명했다.
다행히도 Wardle는 아직 해당 공격을 시행하는 Mac멀웨어는 보지는 못했다고 밝혔지만, 구현이 어렵지 않다고도 덧붙였다.
또 그는 "단 몇 라인의 코드만으로 가능하다. 또한 특별한 권한이 필요하지도 않다, 최근 Eleanor같은 Mac멀웨어는 이 코드를 이용해 쉽게 기능을 구현할 수 있다"라고 밝혔다.
★정보보안 & IT 대표 미디어 데일리시큐!★