macOS 악성코드 ChillyHell, 3년 만에 돌아왔다 ❄️🔥

macOS는 한때 보안이 상대적으로 안전한 플랫폼으로 여겨졌습니다.
하지만 최근 몇 년 사이 macOS를 노리는 악성코드가 꾸준히 늘고 있고,
이번엔 과거 우크라이나 관료들을 노렸던 ChillyHell 백도어가 다시 등장했습니다.
이번 사건은 단순한 재등장이 아니라, macOS 생태계가 이제 본격적으로 위협의 표적이 되고 있음을 보여줍니다.

---

ChillyHell의 부활 🪓

Jamf Threat Labs 연구팀은 지난 5월 2일, VirusTotal에 업로드된 새로운 ChillyHell 샘플을 발견했습니다.
놀라운 점은 이 악성코드가 2021년에 애플의 공인(Notarization)을 받은 상태였다는 사실이에요.
즉, 정상 앱처럼 보이도록 애플의 보안 절차를 통과했었다는 뜻이죠.

게다가 이 샘플은 2021년부터 Dropbox에 공개적으로 호스팅되어 있었다고 하니, 사실상 누구나 접근할 수 있었던 셈입니다.
이건 단순히 악성 파일 하나가 퍼진 게 아니라, 애플 생태계의 신뢰 체계가 뚫릴 수 있음을 보여주는 신호탄입니다.

---

세 가지 집요한 지속성(Persistence) 기법 🔁

ChillyHell이 무서운 이유 중 하나는 바로 지속성 확보 능력입니다. 일반적인 악성코드는 하나의 방식만 사용하는 경우가 많지만, ChillyHell은 무려 3가지 방식을 사용합니다.

1. LaunchAgent 등록 (일반 사용자 권한)
   • ~/Library/LaunchAgents/com.apple.qtop.plist에 설정 파일을 작성해, 로그인 시 자동 실행되도록 만듭니다.
   • 메인 바이너리는 ~/Library/com.apple.qtop/qtop 경로에 설치됩니다.
2. LaunchDaemon 등록 (루트 권한 확보 시)
   • /Library/LaunchDaemons/com.apple.qtop.plist에 등록하고, /usr/local/bin/qtop에 바이너리를 설치합니다.
   • 이 방식은 시스템 권한을 획득해 부팅 시 자동 실행되도록 만듭니다.
3. 쉘 프로필 수정 (Fallback 방식)
   • 사용자의 쉘 설정 파일(.zshrc, .bashrc 등)에 악성 실행 라인을 추가합니다.
   • 사용자가 새로운 터미널을 열 때마다 악성코드가 자동 실행됩니다.

이렇게 다층적인 방법을 쓰다 보니, 단순히 한 곳만 지워서는 제거가 어렵습니다.

---

단순 백도어가 아니다: 추가 기능들 🛠️

ChillyHell은 단순히 시스템에 숨어드는 수준이 아닙니다.
연구 결과, 이 악성코드는 매우 다양한 기능을 가지고 있었습니다.

• 데이터 탈취: 시스템 정보를 수집하고 공격자 서버(C2)로 전송
• 추가 페이로드 설치: 공격자가 원하는 악성 모듈을 내려받아 실행
• 사용자 계정 탐색 및 브루트포스 공격:
  • 감염된 시스템의 사용자 계정을 수집
  • 이후 C2에서 내려받은 패스워드 크래킹 도구로 로컬 비밀번호 무차별 대입 공격
• 타임스탬프 위조:
  • 생성한 파일의 생성/수정 날짜를 조작해 흔적을 숨김
  • macOS 악성코드에서 드문 기능

또한, AnyDesk, TightVNC 같은 정상 원격제어 툴을 설치해 공격자가 장기간 시스템을 완벽히 제어할 수도 있습니다. 정상 프로그램을 악용하기 때문에 보안 솔루션이 탐지하기도 어렵죠.

---

왜 더 위험한가? 🚨

1. 애플 공인(Notarized) 상태였음
   • 보통 사용자들은 “애플에서 인증했으니 안전하겠지”라고 생각합니다.
   • 하지만 이번 사례는 공인된 앱조차 악성일 수 있다는 점을 보여줍니다.
2. Dropbox 같은 합법적 플랫폼에 호스팅
   • 흔히 공격자들은 의심스러운 서버에 악성 파일을 올리지만, 이번에는 정상적인 클라우드 서비스에 업로드했습니다.
   • 덕분에 보안 솔루션의 차단도 우회할 수 있었죠.
3. macOS도 더 이상 안전지대가 아님
   • 최근 몇 년간 macOS의 시장 점유율이 올라가면서 공격자들이 본격적으로 macOS를 타깃으로 삼고 있습니다.
   • 특히 기업 환경에서 Mac을 쓰는 경우가 많아, 공격의 가치가 커졌습니다.

---

보안 수칙: 어떻게 막을 수 있을까? 🛡️

ChillyHell 사례를 통해 macOS 사용자와 기업이 꼭 지켜야 할 보안 수칙을 정리해봤습니다.

1. 출처 불분명한 앱 설치 금지
   • “웹사이트에서 설치하라고 해서…” → 가장 위험한 패턴입니다.
   • 반드시 공식 스토어나 신뢰할 수 있는 배포 경로만 이용하세요.
2. 보안 로그와 LaunchAgents/LaunchDaemons 모니터링
   • /Library/LaunchDaemons와 ~/Library/LaunchAgents에 이상한 파일이 없는지 주기적으로 확인하세요.
3. MFA(다중인증)와 강력한 비밀번호 사용
   • 로컬 계정이 털리면 전체 시스템이 뚫립니다.
   • 길고 복잡한 비밀번호와 MFA를 반드시 사용하세요.
4. EDR/XDR 도입
   • 단순 백신으로는 부족합니다.
   • 행동 기반 탐지가 가능한 보안 솔루션이 필요합니다.

---

마무리 🙋‍♂️

ChillyHell의 부활은 단순한 macOS 악성코드 사건이 아닙니다.
이번 사례는 “macOS도 공격자들에게 주요 타깃이 되었다”는 점을 강력하게 보여줍니다.

게다가 공인된 앱처럼 위장하고,
Dropbox 같은 정상 서비스를 악용하는 방식은 사용자 심리와 신뢰를 정교하게 이용한 것입니다.
앞으로는 단순히 “애플 인증이니까 안전하다”라는 생각도 버려야 합니다.

결국, 기업과 개인 모두 보안 습관과 탐지 체계 강화 없이는 macOS도 언제든 위험에 노출될 수 있습니다.