macOS 신규 스틸러 PamStealer 분석 – Maccy 사칭 .scpt와 PAM 악용으로 비밀번호 탈취

핵심 요약

  • 악성코드명: PamStealer – Jamf Threat Labs가 최초 식별 및 명명한 macOS 신규 정보 탈취형 스틸러
  • 유포 방식: 컴파일된 AppleScript(.scpt) 파일로 위장 배포되며 정품 오픈소스 클립보드 매니저 Maccy를 사칭
  • 핵심 동작: PAM(Privileged Access Management) 점검을 악용해 Mac 사용자 로그인 비밀번호를 유출

macOS 환경에서도 PAM 권한 남용 기반의 자격증명 탈취 시도가 실제로 확인되며 엔드포인트 보안 강화가 필수라는 점이다.

오랜 시간 macOS는 상대적으로 안전한 플랫폼으로 인식되어 왔지만, 최근 발견된 PamStealer는 이러한 인식을 다시 한번 점검할 필요성을 보여준다. 본문에서는 Jamf Threat Labs의 분석을 바탕으로 PamStealer의 유포 경로, PAM 권한 남용 메커니즘, 그리고 macOS 엔드포인트 보안 강화 포인트를 정리한다.

1. PamStealer 개요와 Jamf Threat Labs의 발견

PamStealer는 2026년 7월 초 Jamf Threat Labs에 의해 최초 식별 및 명명된 macOS용 정보 탈취형 악성코드이다. 분석 보고서 및 원문 기사에 따르면 공격자는 정상 오픈소스 클립보드 매니저인 Maccy를 사칭한 가짜 배포 사이트를 운영하면서, Mac 사용자가 검색을 통해 유입될 경우 위장 설치 파일을 내려받도록 유도한 것으로 파악된다. 단순한 사용자 데이터 수집을 넘어 시스템 권한 영역까지 침투를 시도한다는 점에서 기존 macOS 스틸러와 차이를 보인다.

1.1 Maccy 사칭의 위험성

Maccy는 macOS 사용자에게 익숙한 무료 클립보드 매니저로 공식 배포 경로가 명확하다. 공격자는 인지도가 높은 앱을 사칭할 경우, 사용자 입장에서 정품 출처를 분별하기 어렵다는 점을 노린 것으로 분석된다. 정품 Maccy 공식 프로젝트 페이지를 기준으로 정상 배포 채널을 사전에 인지해 두는 것이 1차 방어선이 된다.

2. 공격 유포 경로와 AppleScript 기반 위장 기법

PamStealer는 컴파일된 AppleScript(.scpt) 파일 형식으로 패키징되어 배포된다. .scpt는 정상 macOS 개발 환경에서도 자주 사용되는 포맷이지만, 동시에 스크립트 본문이 바이너리 형태로 캡슐화되어 있어 사용자가 평소처럼 더블 클릭해 실행하는 순간 악성 스크립트가 동작하게 된다.

유포 단계는 대략 다음과 같은 흐름으로 정리된다.

  • 검색 유입: 사용자가 Maccy 관련 키워드로 검색 시 상위 노출된 가짜 사이트에 도달
  • 다운로드: 정상 dmg 또는 zip 파일 대신 .scpt 파일이 다운로드됨
  • 실행: 사용자가 실행 시 AppleScript 런타임이 스크립트를 해석하며 PAM 점검 루틴을 호출

3. PAM 점검을 악용한 로그인 비밀번호 탈취 메커니즘

PamStealer의 가장 큰 특징은 PAM(Privileged Access Management) 점검 동작을 활용한다는 점이다. PAM은 사용자 인증과 권한 상승을 처리하는 핵심 인증 프레임워크로, 시스템은 관리자 권한이 필요한 작업에 대해 사용자에게 로그인 비밀번호 입력을 요구한다. 악성코드는 바로 이 인증 흐름을 트리거해 사용자에게 표시되는 비밀번호 입력 프롬프트를 생성하고, 입력된 값을 외부 서버로 유출하는 방식으로 동작한다.

즉, 사용자는 자신이 입력하는 비밀번호가 시스템의 정상 권한 상승을 위한 것이 아니라, 공격자가 생성한 자격증명 탈취용 프롬프트라는 사실을 인지하기 어렵다. 사실을 인지하기 어렵다. 이러한 기법은 macOS의 시스템 알림과 구분하기 어렵게 만드는 UI 신뢰 모델을 역이용하는 것으로 분석된다.

4. 탐지 및 대응 체크리스트

PamStealer류 위협에 효과적으로 대응하기 위해서는 사용자 단위 교육과 관리자 단위 정책 강화가 함께 이루어져야 한다. 아래 표는 주요 항목과 권장 조치를 정리한 것이다.

구분 핵심 점검 항목 권장 조치
사용자 출처 불명 .scpt 실행 여부 공식 앱스토어 또는 정식 개발자 사이트에서만 다운로드
사용자 예상치 못한 비밀번호 입력 요청 입력 전 시스템 설정이나 출처 재확인, 의심 시 취소
관리자 PAM 모듈 비정상 호출 로그 Endpoint Security 로그 및 인증 이벤트 모니터링
관리자 관리 도구 배포 채널 통제 MDM을 통한 화이트리스트 기반 설치 정책 적용
관리자 비정상 외부 통신 패턴 EDR 및 네트워크 센서 기반 C2 트래픽 차단

4.1 탐지 단서와 로그 모니터링 포인트

관리자 관점에서 PamStealer를 조기에 포착하기 위해서는 PAM 관련 이벤트와 AppleScript 실행 이벤트를 교차 점검하는 것이 효과적이다. 특히 권한 상승 직후 발생하는 비정상 외부 통신, 그리고 짧은 시간 내 다수의 비밀번호 프롬프트가 발생하는 패턴은 위협 지표로 활용할 수 있다. Jamf 등 MDM 환경에서는 정책 위반 스크립트 실행 로그를 별도로 수집하도록 구성해 두는 것이 권장된다.

4.2 사용자 및 관리자 권고 사항

사용자는 검색 결과 상위 노출이라고 해서 무조건 신뢰하기보다, 정품 앱의 공식 도메인과 디지털 서명 정보를 반드시 확인해야 한다. 관리자 입장에서는 기업 기기에 대해 Gatekeeper, XProtect, notarization 정책 점검을 주기적으로 수행하고, 의심스러운 .scpt 파일에 대한 차단 정책을 MDM 차원에서 배포할 필요가 있다. 출처 추적과 권한 상승 이벤트의 상관 분석은 PamStealer 류의 위협에 공통적으로 적용 가능한 핵심 통제 포인트로 판단된다.

5. 결론: macOS 보안 인식을 바꿔야 할 시점

PamStealer 사례는 macOS 환경에서도 자격증명을 노리는 적극적 공격이 현실화되고 있음을 보여준다. 정작 중요한 것은 특정 악성코드 하나를 막는 것보다, 위장 유포 채널과 PAM 같은 시스템 권한 영역을 동시에 점검하는 운영 체계를 갖추는 일이다. 엔드포인트 보안 정책과 사용자 인식 개선이 함께 이뤄질 때, 비로소 macOS 보안 수준이 한 단계 올라갈 수 있을 것으로 분석된다.

핵심 포인트 정리

  • PamStealer는 Jamf Threat Labs가 명명한 신규 macOS 정보 탈취 악성코드이다
  • 유포는 Maccy를 사칭한 사이트와 컴파일된 AppleScript(.scpt) 파일을 중심으로 이루어진다
  • 공격 핵심은 PAM 점검을 악용해 Mac 로그인 비밀번호를 유출하는 것이다
  • 대응은 출처 검증, MDM 정책, PAM/스크립트 로그 모니터링의 3축으로 구성해야 한다

참고 자료: The Hacker News 원문 기사, Maccy 정품 오픈소스 프로젝트 페이지

관련 키워드: PamStealer, macOS, Maccy, AppleScript, Jamf Threat Labs, 정보탈취악성코드, PAM권한남용, 엔드포인트보안, macOS보안, 로그인비밀번호유출, 악성코드분석, 스틸러, 클립보드매니저사칭, 취약점대응

댓글 남기기