어떤 소프트웨어든, macOS를 포함하여 공격으로부터 완전히 안전할 수는 없습니다. Apple 컴퓨터의 인기가 높아짐에 따라 악성코드의 주요 표적이 되고 있습니다. 보안 업체들은 Mac용 백신 프로그램을 계속해서 출시하고 있지만, 과연 필요한 것일까요?
Mac을 악성코드로부터 보호하기 위해 알아두어야 할 모든 것을 살펴보겠습니다.
macOS의 자체적인 보안 기능
Mac에는 여러 내장 보안 기능이 있어 안전하게 사용할 수 있습니다. macOS(과거의 Mac OS X)는 강력한 Unix 기반 시스템을 토대로 구축되었습니다. BSD와 Linux의 기반이기도 한 이 운영체제는 강력한 권한 시스템 덕분에 안정성과 보안성으로 명성이 높습니다.
Mac은 플랫폼의 보안을 유지하기 위해 다양한 독점 기술을 사용합니다. Xprotect라는 백그라운드에서 실행되는 악성코드 방지 스캐너가 이미 Mac에 있다는 사실은 놀라울 수도 있습니다.
파일을 Mac에서 열 때마다 Xprotect는 알려진 macOS 악성코드 정의를 기준으로 검사 및 확인을 수행합니다. 의심스러운 점이 발견되면 컴퓨터가 손상될 수 있다는 경고가 표시됩니다. Mac의 시스템 업데이트와 함께 악성코드 정의도 업데이트됩니다.
Gatekeeper라는 또 다른 기술은 알려지지 않은 응용 프로그램으로부터 컴퓨터를 보호합니다. 기본적으로 macOS는 Apple에서 발급한 개발자 인증서로 서명되지 않았거나 Mac App Store에서 다운로드하지 않은 모든 소프트웨어를 차단합니다.
서명되지 않은 앱이 모두 악성인 것은 아닙니다. 무료 오픈 소스 앱을 만드는 개발자들은 Apple 개발자 프로그램에 참여하고 인증서를 발급하는 데 필요한 99달러를 지불하기 어려울 수 있습니다. Gatekeeper를 우회하려면 시스템 환경설정 > 보안 및 개인 정보 보호로 이동한 다음, 서명되지 않은 앱을 열려고 시도한 후 “무조건 열기”를 클릭해야 합니다.
Apple은 서명된 앱과 Mac App Store를 통해 배포된 앱이 운영체제를 손상시키지 않도록 샌드박싱을 사용합니다. 샌드박싱은 앱이 필요한 기능만 수행할 수 있도록 제한합니다. 샌드박스에서 앱을 실행할 때는 할 수 있는 작업이 제한되고 입력에 따라 추가 권한이 부여됩니다.
시스템 무결성 보호(SIP)는 시스템의 가장 취약한 부분인 핵심 시스템 디렉토리를 보호합니다. Apple은 앱이 해당 영역에 액세스하는 것을 방지하여 악성 소프트웨어로 인한 잠재적인 손상을 제한합니다.
SIP는 Finder 및 Safari와 같은 사전 설치된 앱이 작동 방식을 변경할 수 있는 코드 삽입으로부터 보호합니다. Mac을 재시동하고 터미널 명령을 실행하면 SIP를 비활성화할 수 있지만, 대부분의 사용자들은 그대로 유지하는 것이 좋습니다.
타사 백신 프로그램의 필요성
이러한 보안 기능은 Mac을 공격으로부터 보호하는 데 도움이 되지만, 어떤 플랫폼도 완전히 안전하지는 않습니다. 매년 새로운 macOS 악성코드 사례가 발견됩니다. 대부분의 악성코드는 Apple의 방어를 우회하거나 Apple이 아직 패치하지 않은 ‘제로데이’ 보안 취약점을 이용합니다.
2019년 6월, OSX/크레센트코어라는 악성코드가 Adobe Flash Player 설치 프로그램 디스크 이미지로 위장하여 발견되었습니다. 이 멀웨어는 Advanced Mac Cleaner, LaunchAgent 또는 Safari 확장이라는 앱을 설치하고 백신 소프트웨어를 확인한 다음, 보호되지 않는 시스템을 공격했습니다. OSX/CrescentCore는 개발자 인증서로 서명되어 있었기 때문에 Apple이 감지하기 전에 컴퓨터를 감염시킬 수 있었습니다.
인테고(@인테고시큐리티)는 최근 새로운 Mac 악성코드(애드웨어 설치 프로그램)를 발견했습니다. https://t.co/lx2dCKDFVT?
/Users/mehdira/Desktop/WaningCrescent/WaningCrescent/Utils/RtfUtils.swift ?
— 오브젝티브-시(@objective_see) 2019년 7월 2일
한 달 전에는 OSX/링커가 Gatekeeper의 ‘제로데이’ 취약점을 이용했습니다. Apple이 연초에 처음 보고되었을 때 해당 보안 결함을 패치하지 않았기 때문에 OSX/Linker는 Gatekeeper를 통과할 수 있었습니다.
하드웨어도 보안에 취약할 수 있습니다. 2018년 초, 지난 20년간 판매된 거의 모든 CPU가 심각한 보안 결함의 영향을 받는 것으로 밝혀졌습니다. 이러한 결함은 스펙터와 멜트다운으로 알려져 있습니다. 물론, Mac도 영향을 받았을 가능성이 있습니다. 이 결함은 공격자가 보호된 것으로 간주되는 시스템 영역의 데이터에 접근할 수 있게 합니다.
Apple은 결국 스펙터와 멜트다운을 방지하기 위해 macOS를 패치했습니다. 해당 취약점을 악용하려면 악성 소프트웨어를 다운로드하고 실행해야 하며, 실제로 Mac 사용자에게 직접적인 영향이 있었는지에 대한 증거는 없습니다. 멜트다운과 스펙터는 Apple이 제어할 수 없는 하드웨어에서도 심각한 보안 문제가 발생할 수 있다는 점을 강조합니다.
2016년에는 OSX/키드냅이 인기 있는 BitTorrent 클라이언트인 Transmission을 감염시켰습니다. 이 악성코드는 시스템 키체인에서 로그인 세부 정보를 훔치고 나중에 시스템에 접근할 수 있는 백도어를 만들려고 시도했습니다. 이것은 Transmission과 관련된 5개월 만에 두 번째 사건이었습니다. 또한, 감염된 버전은 합법적인 인증서로 서명되어 있었기 때문에 Gatekeeper가 감지하지 못했습니다.
Mac App Store가 모든 악성 앱을 걸러낼 수 있기를 바라지만, 2017년에는 여러 악성 앱이 Apple의 검토 프로세스를 통과했습니다. Adware Doctor, Open Any Files 및 Dr. Cleaner와 같은 앱은 합법적인 악성코드 방지 소프트웨어로 위장했습니다. 하지만 이들은 인터넷 사용 기록 및 현재 실행 중인 프로세스와 같은 정보를 중국 서버로 전송했습니다.
Gatekeeper는 Mac App Store를 암묵적으로 신뢰하기 때문에 추가 검사 없이 소프트웨어가 설치되었습니다. 이러한 앱은 Apple의 샌드박싱 규칙 덕분에 시스템에 큰 피해를 줄 수는 없지만, 도난당한 정보는 여전히 심각한 보안 침해에 해당합니다.
2018년 8월에는 라우드마이너가 VST(Virtual Studio Technology) 플러그인 및 Ableton Live 10의 불법 복제본에서 발견되었습니다. LoudMiner는 Linux 가상 머신을 실행하고 시스템 리소스를 사용하여 암호화폐를 채굴하는 가상화 소프트웨어를 설치합니다. 이 공격은 Mac과 Windows 컴퓨터 모두에 영향을 미쳤습니다.
이것들은 최근 macOS 보안 문제의 몇 가지 예에 불과합니다. 타사 백신 소프트웨어가 이러한 모든 문제를 감지할 수 있는 것은 아니며, 특히 멜트다운 및 스펙터와 같은 취약점은 직접적으로 악용 가능한 형태가 아닐 수도 있습니다.
감염 위험을 줄이는 방법
보안 취약점으로부터 Mac을 보호하는 가장 좋은 방법은 최신 상태를 유지하는 것입니다. Apple은 소규모 보안 수정 및 대규모 OS 업데이트를 통해 보안 취약점에 대응합니다. 시스템 환경설정 > 소프트웨어 업데이트로 이동하여 업데이트를 확인하십시오. 업데이트를 자동으로 설치하도록 Mac을 설정하는 것이 좋습니다.
출처를 알 수 없는 소프트웨어를 설치하면 감염될 위험이 있습니다. Mac App Store에서 제공하거나 합법적인 개발자 인증서로 서명된 소프트웨어만 사용하는 것이 가장 좋습니다.
위에서 언급한 것처럼, 이러한 방식으로 사용하는 경우에도 시스템이 완전히 안전한 것은 아니지만 상당한 보호 기능을 제공합니다. 서명되지 않은 앱을 설치해야 하는 경우, 신뢰할 수 있는 출처에서 다운로드해야 합니다. 일부 Mac 응용 프로그램 설치 프로그램에는 Windows에서처럼 불필요한 소프트웨어가 포함되어 있을 수 있습니다.
불법 복제 소프트웨어를 다운로드하면 감염될 가능성이 있습니다. 불법적인 소스에서 소프트웨어를 다운로드하는 것은 업로더의 손에 달려 있기 때문에 매우 위험합니다. 단순히 소프트웨어만 다운받는 것이 아니라 그 이상의 위험에 노출될 수 있습니다.
Adobe Flash는 악성코드 및 브라우저 기반 공격의 또 다른 원인입니다. 자주 사용하지 않는 경우 시스템에서 제거하십시오. 대부분의 웹사이트는 이미 Flash에서 전환했으며, 2020년 말에는 완전히 사라질 예정입니다. Flash를 사용해야 하는 경우 Google Chrome을 설치하여 샌드박스 버전의 Flash를 활성화하십시오.
보안되지 않은 공용 무선 네트워크도 보안 및 개인 정보 위험을 야기합니다. 중간자 공격은 공개 핫스팟에서 발생하며, 누군가가 사용자의 트래픽을 감시할 수 있습니다. 보안되지 않은 공용 네트워크를 사용해야 하는 경우 VPN을 통해 사용하십시오.
마지막으로 추가 보호를 위해 백신 또는 악성코드 방지 소프트웨어를 설치하여 시스템을 모니터링할 수 있습니다.
어떤 Mac 보안 소프트웨어를 설치해야 할까요?
Mac용 백신 소프트웨어는 필수는 아닙니다. 위에서 설명한 기본적인 ‘상식’적인 방법들을 따르기만 한다면 감염 가능성은 여전히 낮습니다. 백신을 사용하더라도 시스템은 문서화되지 않은 새로운 감염의 희생자가 될 수 있습니다. 하나의 Mac이 손상되면 백신 실행 여부에 관계없이 다른 모든 Mac도 손상될 수 있습니다.
하지만 Mac에 백신을 설치하는 것이 더 편안하다면 괜찮습니다. 몇 가지 추천할 만한 프로그램이 있습니다.
기본적인 악성코드 제거 도구를 찾고 있다면 Malwarebytes를 사용해 보십시오. Windows와 Mac 버전 모두 좋습니다. 무료 버전을 사용하면 Mac에서 악성코드를 검사하고 발견된 악성코드를 제거할 수 있습니다. 실시간 보호 기능을 원한다면(다시 말하지만 필요하지 않을 수도 있음), Malwarebytes Premium(연간 $39.99)을 권장합니다.
저희는 ‘최고의’ Mac 백신 패키지를 찾기 위해 자체 테스트를 수행하지는 않았습니다. 하지만 다음 도구들이 AV-Test의 2019년 6월 macOS 요약에서 높은 점수를 받았습니다.
Bitdefender Antivirus for Mac
Norton Security
Trend Micro Antivirus
VIPRE Advanced Security
악성코드를 탐지하는 데 도움이 되는 또 다른 유용한 도구는 KnockKnock(제공자: Objective-See)입니다. KnockKnock은 악성코드를 직접적으로 겨냥하지 않고 지속적으로 설치된 소프트웨어를 대상으로 합니다. 악성코드는 공격적인 전술을 사용하여 컴퓨터에 설치된 상태를 유지하려는 경향이 있기 때문에, KnockKnock은 이러한 프로세스를 찾아 분석합니다.
KnockKnock은 완전히 무료로 다운로드하여 사용할 수 있지만, 프로세스를 제거하지 않고 안전한 프로세스를 플래그할 수도 있습니다. VirusTotal을 사용하여 프로세스를 상호 확인하고 알려진 악성코드를 빨간색으로 강조 표시하는 것이 좋습니다.
보안에 민감한 Mac 사용자는 Little Snitch도 확인해 봐야 합니다. 기본적으로 이 프로그램은 응용 프로그램이 인터넷에 연결을 시도할 때마다 메시지를 표시하는 방화벽입니다. 사용자는 이러한 요청을 승인하거나 거부하여 데이터를 주고받을 수 있는 애플리케이션을 제한하고, 설정을 저장하여 앱에 기억시킬 수 있습니다. Little Snitch는 무료 평가판으로 사용할 수 있으며, 정식 버전은 45달러입니다.
Mac이 안전하다고 가정하지 마십시오
사용 가능한 모든 보안 도구를 사용하더라도 Mac이 안전하다고 가정해서는 안 됩니다. 어떤 운영체제나 하드웨어도 공격에 완전히 안전할 수는 없습니다. 취약점은 예고 없이 갑자기 나타날 수 있습니다.
Mac을 보호하는 가장 좋은 방법은 최신 상태를 유지하고, 인증된 개발자 및 Mac App Store에서 서명된 소프트웨어만 설치하는 것입니다.
참고로, 이 글을 작성한 사람은 Mac에 백신 프로그램을 사용하지 않습니다.
