Skip to content

NimDoor 사후 분석: 암호화 대상에 대한 정교한 macOS 공격

NimDoor는 DPRK 관련 위협 행위자와 연계된 macOS 멀웨어 계열로, Web3 조직과 암호화폐 사업체를 대상으로 배포되었습니다. 원래 공개된 내용이 더 이상 최신 뉴스는 아니지만, 정교한 공격자들이 디지털 자산 산업에 맞서 계속해서 기술을 발전시키는 방식을 보여주는 귀중한 사례 연구입니다. 

NimDoor는 분석 회피, 지속성 유지, 사고 대응 복잡화 등을 위해 여러 기법을 사용했습니다. SentinelOne에 따르면, 이 멀웨어는 합법적인 프로세스에 악성 코드를 주입하고, 여러 지속성 메커니즘을 구축하며, 명령 및 제어(C2) 인프라와의 통신을 암호화하고, 브라우저 데이터, Apple Keychain 항목, 텔레그램 데이터 및 기타 민감한 정보를 선택적으로 수집했습니다.

이러한 기법들 중 일부는 macOS에서는 비교적 드물게 사용되며, 정교한 위협 행위자들이 Apple 생태계에 특화된 멀웨어에 계속해서 많은 투자를 하고 있음을 보여줍니다. 이 캠페인은 macOS만으로는 충분한 보호가 되지 않음을 상기시키는 역할을 합니다.

공격 체인 & 핵심 기법

초기 접근

공격은 타겟팅된 사회 공학 캠페인으로 시작됩니다. 공격자는 텔레그램에서 신뢰받는 연락처를 사칭하여 피해자를 초대해 캘린들리(Calendly)를 통해 미팅 일정을 잡도록 유도하고, 결국 가짜 Zoom 관련 업데이트 페이지를 방문하게 만들어 호출 전에 설득합니다.

그 후 피해자는 Zoom SDK 업데이트로 위장된 피싱 페이지로 유도되며, 이 페이지는 Zoom을 사칭하는 도메인에서 악성 AppleScript 파일인 zoom_sdk_support.scpt를 전달합니다. 실행되면, 이 스크립트는 공격자의 명령 및 제어(C2) 인프라에 연결되고, 추가 페이로드를 다운로드하며, 이후 단계의 침투를 시작합니다.

감염 후 일어난 일

피해자가 악성 AppleScript를 실행하면, 공격은 사회 공학에서 멀웨어 실행으로 이동합니다. 스크립트는 추가 멀웨어 구성요소를 다운로드하며, 그 중 하나는 다른 프로세스에 악성 코드를 주입하는 동시에, 멀웨어가 시스템 재시작 후에도 활성 상태를 유지할 수 있도록 지속성 메커니즘을 구축합니다. 

이 멀웨어는 공격자가 제어하는 명령 및 제어(C2) 인프라와 통신하며, 공격자는 추가 명령을 내리거나, 더 많은 모듈을 가져오거나, 감염된 시스템에 대한 접근을 유지할 수 있습니다. 

가장 중요한 점은, 암호화폐 사용자에게 있어 NimDoor는 감염된 기기에서 민감한 정보를 수집하도록 설계되었다는 것입니다. 여기에는 브라우저 데이터, Apple Keychain 항목, 셸 기록, 텔레그램 애플리케이션 데이터, 그리고 공격자가 계정을 탈취하거나 자격 증명을 훔치거나 피해자의 운영 환경에 더 깊숙이 침투하는 데 도움이 될 수 있는 기타 흔적들이 포함됩니다.

인간 요소: NimDoor의 실제 공격 벡터

NimDoor 캠페인에서 가장 중요한 교훈은, 공격자가 처음에 macOS의 취약점을 이용하지 않았다는 점입니다. 대신, 그들은 인간 신뢰를 악용했습니다.

피해자는 신뢰받는 연락처를 사칭하는 공격자에게 텔레그램에서 신중하게 접근당했고, 캘린들리를 통해 미팅을 예약하도록 유도되었으며, 결국 정당한 Zoom SDK 업데이트인 것처럼 보이는 것을 설치하도록 설득당했습니다. 피해자가 자발적으로 멀웨어를 실행한 후에야 기술적 단계가 시작되었습니다.

암호화폐 사용자에게 가장 중요한 교훈은 명확합니다: 한 순간의 부주의가 종종 가장 큰 보안 위협이 됩니다. 핵심 인프라와 서명 능력을 일상 작업 및 브라우징 기기와 명확히 분리하는 시스템이 갖추어지지 않았다면, 성공적인 침해는 단일 감염된 작업장에서 조직 전체와 개인 재무 상황에 치명적인 사고로 빠르게 확산될 수 있습니다.

NimDoor 예방 및 보안 최선 실천 방안

NimDoor는 정교한 멀웨어 기법을 사용했지만, 초기 침해는 주로 사회 공학에 의존했으며, macOS의 취약점을 이용하지는 않았습니다.

디지털 자산을 다루는 개인과 조직이 유사한 공격의 위험을 크게 줄이기 위해 실천할 수 있는 몇 가지 예방 조치는 다음과 같습니다:

  • 예상치 못한 미팅 초대와 소프트웨어 업데이트 요청은 독립적인 커뮤니케이션 채널을 통해 확인하세요.
  • 텔레그램, 이메일, 또는 다이렉트 메시지로 받은 소프트웨어 또는 “업데이트”를 절대 설치하지 마세요.
  • Zoom, 브라우저, 지갑, 운영체제 업데이트는 공식 공급처 웹사이트 또는 내장된 업데이트 메커니즘에서만 다운로드하세요.
  • 최소 권한 원칙을 적용하고, 가능하면 일상 작업에 관리자 계정을 사용하지 마세요.
  • 복구 시드, 개인 키 또는 기타 민감한 자격 증명을 일상 작업용 워크스테이션에 저장하지 마세요.
  • 실제 상황에서는, 중요 인프라와 지갑 서명 장치를 주요 작업 및 브라우징 환경과 분리하세요.
예방은 간단할 수 있습니다: 하드웨어 서명 장치는 개인 키를 일상 작업용 워크스테이션과 분리하여, 감염 시 영향을 줄입니다
예방은 간단할 수 있습니다: 하드웨어 서명 장치는 개인 키를 일상 작업용 워크스테이션과 분리하여, 감염 시 영향을 줄입니다

결론

NimDoor는 DPRK 연계 위협 행위자들이 암호화폐 생태계에 대해 배포하려는 정교함의 수준을 보여줍니다. 멀웨어 구성요소는 고급 지속성, 프로세스 주입, 데이터 절취 기법을 사용했지만, 궁극적으로는 macOS 자체를 깨뜨리기보다는 인간 신뢰를 악용하는 데 성공했습니다.

이 사건은 영원한 보안 원칙을 강화합니다: 가장 강력한 기술적 방어도 한 번의 성공적인 사회 공학 공격에 의해 무력화될 수 있습니다. 우수한 운영 보안, 장치 분리, 신뢰할 수 있는 소프트웨어 출처, 그리고 예상치 못한 요청에 대한 건강한 회의주의를 결합하는 것이 현대의 표적 공격에 맞서 싸우는 가장 효과적인 방법 중 하나입니다.

베트남에 기반을 두고 있으며 디지털 자산 보안을 강화하고 싶으신가요?

우리의 파트너인 BitcoinVN Shop은 Trezor, Ledger, Coinkite, Blockstream,Keystone를 포함한 선도 제조사의 하드웨어 서명 장치(일반적으로 하드웨어 지갑)를 엄선하여 제공합니다. 이 장치들은 민감한 개인 키를 일상 작업 환경과 물리적으로 분리하여, 감염된 작업장으로 인한 영향을 크게 줄여줍니다.

심지어 일상 작업용 워크스테이션이 감염되었더라도, 적절히 구성된 하드웨어 서명 장치는 개인 키가 감염된 컴퓨터와 격리되어 유지되도록 보장합니다. 

장기 복구 시드 보호를 위해, BitcoinVN Shop은 내구성 강한 강철 백업 솔루션도 제공합니다으로, 화재, 물, 기타 물리적 위험에 견딜 수 있도록 설계되었습니다.

모든 제품은 베트남에 위치한 창고에서 직접 발송되어, 국제 배송과 관세와 관련된 불확실성과 지연을 없앱니다.

개인 정보 보호를 극대화하려는 사용자에게는, 하드웨어 지갑을 직접 수령하는 것도 가능합니다: 사이공 본사 또는 다낭 전시장에서 수령하여, 구매 과정에서 공유하는 개인 정보의 양을 최소화할 수 있습니다.

자체 보관에 익숙하지 않거나 현재 보안 설정에 대한 전문가의 검토를 원하시면, BitcoinVN Consulting 팀이 처음부터 강력한 운영 보안 전략을 구축하는 데 도움을 드릴 수 있습니다 — 비용이 많이 드는 실수보다 더 고통스러운 교훈이 되기 전에.