맥 OS X 사용자를 겨냥해 PDF 파일로 위장한 트로이목마가 발견되었다. 특히 이 PDF 파일은 해커가 사용자의 맥에 원격 액세스할 수 있는 백도어를 포함하고 있다.
23일(현지시각) 보안연구소인 F시큐어는 중국어 PDF 다운로드를 위장한 트로이목마 Trojan-Dropper:OSX/Revir.A가 발견되었다고 밝혔다. 사용자가 위장된 중국어 PDF 파일을 다운로드해서 열면 백도어가 실행된다.
이 트로이목마의 커맨드&컨트롤 센터는 지난 5월 아파치재단에 의해 노출된 후 휴지기 상태였다. 아직 백도어 커뮤니케이션은 일어나지 않았지만 잠재적 위협을 내포한다고 F시큐어는 설명했다.
트로이목마는 자신을 PDF 파일인 것처럼 위장해 다운로드되면 사용자들이 이 파일을 오픈한 상태에서 시스템을 감염시킨다. 하지만 이번에 발견된 Trojan-Dropper:OSX/Revir.A는 다른 말웨어보다 훨씬 더 스텔스 성향이 강하다고 지적했다.
일반적인 트로이목마들이 윈도 PDF 말웨어인 것과 달리 맥 OS X 사용자를 겨냥하고 있으며 일반적으로 사용하는 pdf.exe 확장자나 아이콘 없이 순수 PDF 상태로 도착한다. 지금까지의 PDF 파일을 위장한 말웨어나 백도어는 pdf.exe 확장자나 아이콘을 갖고 있다.
F시큐어는 “맥 환경에서 확장자나 아이콘은 윈도 환경과 다르게 저장되고 디스플레이된다”며 “따라서 윈도 환경을 겨냥한 동종 말웨어보다 훨씬 탐지가 어렵다”고 전했다. 이 말웨어의 확산 방법은 명확하진 않으나 현재로서는 이메일 첨부 파일 형태가 일반적이다.
박현선기자 hspark@etnews.com
trend@etnews.com