라자루스, 가짜 줌 회의로 맥OS 악성코드 배포…크립토 기업도 사정권
보안 연구진이 북한 연계 해킹 조직 ‘라자루스 그룹’과 연결된 새로운 맥OS 악성코드 캠페인을 포착했다. 암호화폐 업계를 겨냥한 대형 해킹으로 악명 높았던 라자루스가 전통 기업뿐 아니라 크립토 기업까지 공격 범위를 넓히고 있다는 점에서 경계가 커지고 있다.
13일 코인텔레그래프에 따르면 보안 전문가이자 위협 인텔리전스 업체 BCA Ltd 창업자인 마우로 엘드리치는 ‘Mach-O Man’으로 불리는 새 악성코드 키트를 공개했다. 이 키트는 ‘클릭픽스’ 사회공학 수법을 활용해 가짜 줌(Zoom)이나 구글 미트(Google Meet) 회의로 피해자를 유인한 뒤, 사용자가 직접 명령어를 실행하도록 유도하는 방식으로 작동한다.
연구진은 이 방식이 기존 보안 통제를 우회할 수 있어 탐지되지 않은 채 자격 증명과 기업 시스템 접근 권한을 탈취할 수 있다고 설명했다. 실제로 공격이 성공하면 계정 탈취, 인프라 무단 접근, 재무 손실, 핵심 데이터 유출로 이어질 수 있어 위험성이 크다.
이번 캠페인의 최종 단계는 브라우저 확장 프로그램 데이터, 저장된 로그인 정보, 쿠키, 맥OS 키체인 항목 등 민감 정보를 빼내는 ‘스틸러’ 악성코드다. 수집된 정보는 압축 파일로 묶여 텔레그램을 통해 공격자에게 전송되고, 이후 자기 삭제 스크립트가 시스템의 rm 명령을 이용해 흔적을 지운다.
라자루스는 이미 업계 최대 규모의 피해를 남긴 범인으로 지목돼 왔다. 특히 2025년 바이비트(Bybit) 거래소에서 발생한 14억달러 규모 해킹 사건의 배후로 거론되며 존재감을 키웠다. 달러로 환산하면 약 2조925억 원에 달하는 규모다. 여기에 지난 4월에는 AI를 활용한 사회공학 수법으로 지갑 서비스 제리온(Zerion)에서 약 10만달러를 탈취한 정황도 보고됐다.
전문가들은 이번 사례가 라자루스의 표적이 ‘크립토 네이티브’ 기업에만 국한되지 않는다는 점을 보여준다고 본다. 가짜 회의 초대와 같은 일상적인 업무 환경을 악용하는 만큼, 거래소와 지갑 서비스뿐 아니라 일반 기업도 동일한 수준의 보안 대응이 필요하다는 지적이 나온다.
기사요약 by TokenPost.ai 🔎 시장 해석 라자루스의 공격 범위가 암호화폐 기업을 넘어 일반 기업까지 확장되며, 산업 전반의 사이버 보안 리스크가 구조적으로 확대되고 있음. 특히 macOS까지 타깃으로 삼으며 플랫폼 불문 공격이 현실화됨. 💡 전략 포인트 가짜 회의 초대 등 일상 업무를 악용한 사회공학 공격이 핵심인 만큼, 기술적 보안뿐 아니라 직원 보안 교육과 접근 권한 관리가 필수. 크립토 기업은 키체인·브라우저 데이터 보호 강화 필요. 📘 용어정리 Mach-O Man: macOS 대상 정보탈취형 악성코드 키트 클릭픽스: 사용자 스스로 악성 명령을 실행하게 유도하는 사회공학 공격 기법 키체인: macOS에서 비밀번호 및 인증 정보를 저장하는 보안 시스템
💡 자주 묻는 질문 (FAQ)
Q. Mach-O Man 악성코드는 어떤 정보를 노리나요? 이 악성코드는 브라우저 저장 비밀번호, 쿠키, 로그인 정보, macOS 키체인 등 민감 데이터를 탈취합니다. 탈취된 정보는 압축되어 텔레그램을 통해 공격자에게 전송됩니다. Q. 사용자는 어떻게 감염되게 되나요? 가짜 줌이나 구글 미트 회의 초대로 유도한 뒤, 사용자가 직접 터미널 명령어를 입력하도록 속입니다. 이 과정에서 악성코드가 설치되는 '클릭픽스' 방식이 사용됩니다. Q. 일반 기업도 위험한가요? 네, 이번 사례는 암호화폐 기업뿐 아니라 일반 기업도 주요 타깃이 될 수 있음을 보여줍니다. 화상회의 등 일상 업무 환경을 악용하기 때문에 모든 조직에서 동일한 수준의 보안 대응이 필요합니다. TP AI 유의사항 TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>
많이 본 기사
