북한 해커 집단 '라자루스'가 맥OS 사용자를 대상으로 한 새로운 악성코드 캠페인을 통해 암호화폐 자산을 탈취하려는 시도를 감행 중이다. 사이버보안 당국은 최근 발표된 경고에서 해당 그룹이 정교한 피싱 이메일과 악성 애플리케이션을 통해 사용자의 지갑 정보와 개인 키를 훔치는 공격을 진행 중이라고 밝혔다. 이번 공격은 전통적으로 윈도우 시스템을 주로 노리던 기존 패턴과 달리, 상대적으로 안전하다고 간주되던 애플 생태계 사용자들을 직접 겨냥한 점에서 업계에 충격을 주고 있다. 전문가들은 "암호화폐 보유자는 OS와 관계없이 2단계 인증(2FA)과 하드웨어 지갑 사용을 즉시 강화해야 한다"고 촉구했다.

[디지털투데이 홍진주 기자] 북한 연계 해킹 조직 라자루스가 맥OS 환경을 겨냥한 새 악성코드 캠페인을 벌인 정황이 포착됐다. 

22일(현지시간) 블록체인 매체 코인텔레그래프에 따르면, 이번 공격은 암호화폐 기업뿐 아니라 일반 기업과 핀테크 기업까지 겨냥했으며, 가짜 화상회의 초대와 사회공학 기법을 결합한 방식이 사용됐다.

보안 연구자들은 새 악성코드 키트를 '마하-오 맨'(Mach-O Man)으로 명명했다. 이 악성코드는 '클릭픽스'(ClickFix) 방식의 유도 화면을 통해 퍼졌고, 피해자에게 가짜 줌이나 구글 미트 회의에 참여하는 것처럼 보이게 만든 뒤 특정 명령어를 직접 실행하도록 유도했다. 

마우로 엘드리치(Mauro Eldritch) BCA 설립자는 이날 공개한 보고서에서 해당 방식이 악성코드를 백그라운드에서 내려받게 해 탐지 없이 전통적인 통제 수단을 우회할 수 있다고 설명했다.

공격이 성공하면 해커는 피해 기업의 자격증명과 내부 시스템 접근 권한을 확보할 수 있다. 연구진은 이 캠페인이 계정 탈취, 무단 인프라 접근, 금전적 손실, 핵심 데이터 노출로 이어질 수 있다고 봤다. 특히 라자루스의 표적이 암호화폐 전용 기업을 넘어 더 넓은 산업군으로 확대되고 있다는 점도 드러났다.

악성코드의 마지막 단계에는 정보 탈취용 프로그램이 배치됐다. 이 도구는 브라우저 확장 프로그램 데이터, 저장된 브라우저 자격증명, 쿠키, 맥OS 키체인 항목 등 민감한 정보를 수집하도록 설계됐다. 수집된 데이터는 압축 파일로 묶인 뒤 텔레그램을 통해 공격자에게 전송됐다.

이후 흔적 삭제 절차도 자동화됐다. 악성코드는 시스템의 rm 명령어를 이용해 전체 키트를 스스로 삭제하도록 구성됐는데, 이 과정은 파일 삭제 시 일반적으로 요구되는 사용자 확인이나 권한 절차를 우회한다고 연구진은 짚었다. 공격자가 침투와 정보 탈취뿐 아니라 사후 은폐까지 고려한 셈이다.

이번 악성코드 키트는 클라우드 기반 악성코드 샌드박스 애니런(Any.run)의 맥OS 분석 기능을 통해 재구성됐다. 연구진은 이를 토대로 공격 흐름과 데이터 유출 경로를 확인했다.

라자루스는 이미 대형 암호화폐 해킹 사건의 배후로 꾸준히 지목돼 왔다. 이 조직은 2025년 발생한 바이비트(Bybit) 해킹의 주요 용의자로도 거론됐으며, 당시 피해 규모는 14억달러로 집계됐다. 이는 현재까지 업계 최대 규모 해킹 사례다.

이달 들어서는 유사한 사회공학 공격도 이어졌다. 제리온(Zerion)은 일부 팀원의 로그인 세션과 자격증명, 회사의 개인 키 접근 권한을 빼앗긴 뒤 약 10만달러 상당의 자금을 탈취당했다. 당시 공격에도 인공지능(AI)을 활용한 사회공학 기법이 동원된 것으로 알려졌다.

이런 흐름 속에 이번 사례는 맥 기반 업무 환경이 더 이상 상대적으로 안전한 영역으로 취급되기 어렵다는 점을 보여준다. 특히 화상회의 초대, 브라우저 기반 인증, 메신저 전송을 한 번에 엮은 공격 구조가 확인되면서 암호화폐와 핀테크 기업의 단말 보안과 계정 관리 체계 점검 필요성이 커지고 있다.