맥OS를 노리는 정보탈취형 악성코드가 텔레그램 데스크톱 세션을 가로채고, 주요 '암호화폐 지갑'까지 위협할 수 있다는 경고가 나왔다. 해커가 한 번 침투하면 비밀번호와 인증 세션을 묶어 훔친 뒤 오프라인에서 지갑 파일을 풀거나, 가짜 ‘레저’와 ‘트레저’ 앱으로 복구 문구를 빼내는 방식이다.
맥OS 악성코드, 텔레그램과 지갑 동시 노린다
블록체인 보안업체 슬로우미스트에 따르면 이 악성코드는 맥OS 키체인, 사파리 쿠키, 애플 노트, 텔레그램 데스크톱, 그리고 12개가 넘는 '암호화폐 지갑' 관련 데이터베이스를 수집한다. 이후 사용자의 인증된 텔레그램 데스크톱 세션 데이터와 지갑 DB, 브라우저 지갑 확장 데이터까지 복사해 공격자가 재사용할 수 있게 만든다.
특히 소프트웨어 지갑인 엑소더스, 애토믹, 일렉트럼, 와사비, 모네로(XMR) 관련 데이터를 노리며, 하드웨어 지갑 애플리케이션인 레저 라이브와 트레저 스위트도 겨냥한다. 비트코인 코어, 라이트코인 코어, 대시 코어, 도지코인 코어 같은 풀노드 클라이언트에 저장된 지갑 데이터도 표적이다.
텔레그램 2단계 인증도 무력화
슬로우미스트는 이 공격이 여러 기법을 한데 엮은 체인 형태로 이뤄진다고 설명했다. 특히 텔레그램 2단계 인증은 새로 로그인하는 방식이 아닐 경우 방어 효과가 제한적이다. 연구진은 감염된 맥에서 훔친 세션 정보를 다른 맥에 복원하는 과정에서 전화번호, 인증 코드, 2단계 비밀번호를 입력하지 않고도 접속이 가능하다는 점을 확인했다.
보안업체는 감염이 의심되면 기존 텔레그램 세션을 즉시 종료하고, 새로 신뢰할 수 있는 기기에서 로그인한 뒤 텔레그램 2단계 비밀번호와 데스크톱 패스코드를 모두 바꾸라고 권고했다. 또 깨끗한 기기에서 새로운 복구 문구를 만들고 자산을 새 주소로 옮기는 것이 안전하다고 조언했다.
이번 사례는 맥OS 환경이 비교적 안전하다는 인식을 흔들고 있다. 텔레그램 세션 재사용과 지갑 파일 탈취가 결합되면, 사용자가 별도 경고를 보지 못한 채 '암호화폐 지갑'과 계정 접근권을 동시에 잃을 수 있기 때문이다. 보안이 약한 링크 하나가 전체 자산으로 번질 수 있는 만큼, 데스크톱 세션과 복구 문구 관리가 더욱 중요해졌다.
🔎 시장 해석
맥OS 기반 악성코드가 텔레그램 세션과 암호화폐 지갑 데이터를 동시에 노리며 보안 안전지대로 여겨지던 맥 환경의 취약성이 부각됨
단순 계정 탈취를 넘어 인증 세션 재사용과 지갑 복구 체계까지 위협하는 공격으로 피해 규모 확대 가능성 존재
💡 전략 포인트
텔레그램은 감염 의심 시 모든 세션 종료 후 신뢰 가능한 기기에서 재로그인 필수
2단계 인증만으로는 방어 불충분, 데스크톱 패스코드 및 보안 설정 병행 필요
암호화폐 자산은 새 복구 문구 생성 후 새 지갑 주소로 이동 권장
하드웨어 지갑 앱은 반드시 공식 경로 사용 및 복구 문구 입력 요구 시 즉각 의심 필요
📘 용어정리
텔레그램 세션: 로그인 상태를 유지하는 인증 정보로, 탈취 시 비밀번호 없이 계정 접근 가능
복구 문구(시드 문구): 지갑을 복원할 수 있는 핵심 키로 유출 시 자산 전체 탈취 위험
키체인: macOS에서 비밀번호를 저장하는 보안 저장소
풀노드 지갑: 블록체인 전체 데이터를 저장하며 자체 지갑 기능을 포함한 소프트웨어

