전세계 120개국 이상에서 감염 사례 확인
2023년 처음 등장, 텔레그램서 월 1천달러에 거래되는 악성코드 서비스로 판매
‘아토믹 맥OS 스틸러(Atomic macOS Stealer)’가 새로운 백도어 기능을 통해 단순한 정보 탈취를 넘어 장기적인 원격 통제 수단으로 진화하고 있다. 보안 전문 기업 맥포(MacPaw)의 사이버보안 조직 문록(Moonlock) 연구소는 아토믹 맥OS 스틸러의 최신 변종에서 지속적인 시스템 접근이 가능한 백도어가 통합된 사실을 확인했다고 밝혔다.
아토믹 맥OS 스틸러는 원래 웹 브라우저 저장 비밀번호, 맥OS 키체인, 가상자산 지갑 정보를 탈취하는 일회성 정보 탈취 악성코드로 시작됐다. 하지만 이번에 발견된 변종은 감염 이후에도 원격 명령 실행, 키 입력 감시, 추가 악성코드 설치, 내부망 확장 등의 기능을 통해 사용자의 맥을 지속적으로 통제할 수 있도록 설계됐다.
■루트 권한 자동 실행으로 재부팅 이후에도 생존
문록 연구소 분석에 따르면 아토믹 맥OS 스틸러는 .helper라는 숨김 실행 파일을 사용자 홈 디렉터리에 저장하고, .agent라는 숨김 스크립트를 통해 이를 무한 반복 실행한다. 이 과정을 자동화하기 위해 com.finder.helper라는 런치데몬(LaunchDaemon) 설정이 사용되며, 감염 시 시스템 부팅과 동시에 실행되도록 구성된다.
런치데몬은 사용자의 비밀번호를 위장된 인증창을 통해 탈취한 뒤 설치되며, 파일 소유권을 루트(root)와 휠(wheel) 그룹으로 변경해 관리자 수준의 지속성을 확보한다. 파일들은 숨김 속성이 부여돼 Finder와 같은 일반 사용자 환경에서는 보이지 않으며, 일부 보안 솔루션에서도 탐지가 어렵다.
■미국·프랑스 등 120개국 이상에서 감염 사례 확인
문록 연구소는 아토믹 맥OS 스틸러의 활동이 전 세계 120개국 이상에서 탐지됐으며, 특히 미국, 프랑스, 이탈리아, 영국, 캐나다 등 서구권 피해가 집중됐다고 밝혔다. 2024년 이후 악성코드 샘플 수가 급증하고 있어, 해당 위협이 여전히 활발히 운영 중인 것으로 분석된다.
아토믹 맥OS 스틸러는 2023년 처음 등장했으며, 텔레그램에서 월 1,000달러에 거래되는 악성코드 서비스로 판매됐다. 당시에는 불법 소프트웨어 사이트를 통한 대규모 유포 방식을 취했지만, 최근에는 특정 대상에 대한 맞춤형 피싱 수법으로 전환했다. 특히 프리랜서를 대상으로 한 가짜 화상면접 초대나 가상자산 보유자를 겨냥한 스피어피싱이 주요 유포 방식으로 활용되고 있다.
해당 악성코드는 system_profiler 명령을 사용해 가상 환경이나 분석 도구에서 실행 중인지 탐지하며, 특정 조건이 감지되면 자동 종료된다. 또한 도메인 주소가 아닌 IP 주소를 직접 호출해 명령제어 서버와 통신하는 방식으로 탐지를 회피한다. 감염된 시스템에는 고유 식별자 파일을 생성해 주기적으로 공격자 서버와 통신하며 명령을 수신한다.
■보안전문가 “단순 비밀번호 변경만으로는 부족…시스템 초기화 권고”
문록 연구진은 아토믹 맥OS 스틸러가 단순한 정보 탈취를 넘어 시스템을 완전히 장악할 수 있는 백도어로 진화했다고 평가하며, 감염이 확인된 경우 전체 시스템 초기화와 포맷 등 근본적인 대응이 필요하다고 강조했다.
보안 전문가는 루트 권한을 가진 알 수 없는 런치데몬은 침해 지표로 간주해야 하며, launchctl 명령이나 curl 호출과 같은 비정상 행위를 탐지할 수 있는 행위 기반 보안 솔루션의 도입이 필수라고 조언했다. 또한 네트워크 보안 정책을 통해 외부 IP로의 직접 연결을 차단할 수 있는 환경 구축이 필요하다고 덧붙였다.
전문가들은 아토믹 맥OS 스틸러에 대응하기 위해 다음과 같은 조치를 제시하고 있다. /Library/LaunchDaemons 경로에서 com.finder.helper 파일이 존재하는지 확인하고, 사용자 홈 디렉터리에서는 .helper, .agent, .username, .id와 같은 숨김 파일을 삭제해야 한다.
또한 DNS를 사용하지 않고 직접 IP로 연결되는 네트워크 트래픽을 탐지하고 차단할 수 있는 정책이 필요하다. 장기적으로는 애플의 게이트키퍼(Gatekeeper)와 공인 코드 서명(notarization)을 필수화하고, 모바일기기관리(MDM)를 통해 인증되지 않은 앱 실행을 제한해야 한다. 외부 인력에게도 채용 사칭 공격에 대한 보안 인식 교육이 요구된다.
■아토믹 맥OS 스틸러, 키로깅·파일 유출 등 기능 확장 가능성 커
문록은 이번 백도어 기능 통합으로 아토믹 맥OS 스틸러가 향후 키로깅, 파일 유출, 수평 확산 등 더욱 정교한 기능을 추가할 가능성이 높다고 밝혔다. 특히 공격자들이 macOS 16 보안 체계를 우회할 새로운 기법을 연구하고 있을 가능성도 제기됐다.
가상자산 투자자, 프리랜서, 크리에이터 등 맥 사용자가 증가함에 따라 공격자들의 표적도 넓어지고 있다. 아토믹 맥OS 스틸러와 같은 고도화된 위협에 대응하기 위해서는 단순한 정보보호 수준을 넘는 전방위적 보안 체계 강화가 절실하다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[통신칼럼]전파, 항공력의 핵심 요소](https://img.etnews.com/news/article/2025/07/07/news-p.v1.20250707.280a2014ad3b4d3ea8c97ae5419f7678_P3.png)
