2년 만에 나타난 칠리헬 멀웨어, 이번엔 맥OS 노려

한 동안 자취를 감췄던 멀웨어가 다시 등장했다. 맥OS 환경에서 활동했던 위협으로, 이름은 칠리헬(ChillyHell)이다. 일종의 백도어로 분류된다. 2021년부터 활동해 왔으나 2023년 보안 업체 맨디언트(Mandiant)가 처음 발견해 보고했고, 들키자마자 사라졌다가 올해 5월에 슬그머니 나타나 활동을 재개했다.

남다른 발전
이와 관련하여 보안 업체 잼프(Jamf)가 보고서를 발표했다. “이 칠리헬 백도어는 원래 UNC4487이라는 해킹 조직이 사용하는 것으로 알려져 있었습니다. UNC4487은 이전에 우크라이나 자동차 보험 회사의 웹사이트를 공격하면서 존재를 드러냈었습니다. 당시 이들은 마탄부커스(MATANBUCHUS)라는 멀웨어를 유포했었고요.”

잼프의 이 이야기는 2023년에 벌어진 사건에 관한 것이다. 그 후 칠리헬은 사라졌다. “그러다가 올해 5월 2일 바이러스토탈에 새로운 칠리헬 샘플이 업로드 됐습니다. 이전과 달리 인텔 기반 맥OS용으로 변경된 모습이었습니다. 우리의 시야에서는 잠시 사라졌지만 누군가는 계속 개발을 이어갔던 것이고, 그래서 지금의 모습으로 진화한 것입니다. 게다가 해당 샘플은 바이러스토탈타에서 탐지율 0을 기록했습니다. 매우 이례적인 성적입니다.”

칠리헬의 변화는 이것만이 아니었다. 이번 샘플은 모듈 구조를 갖추고 있기까지 했다. 공격자가 상황에 따라 유연하게 대처하며 필요한 악성 행위를 실시할 수 있다는 의미다. “원격 접속 모듈, 추가 페이로드 다운로드 모듈, 비밀번호 크래킹 모듈 등 다양한 것들이 부착되는 것으로 분석됐습니다.”

이 정도로 노골적인 멀웨어라면 애플이 알아서 걸러냈을 것이 분명해 보이지만, 그렇지 않다. 최신 칠리헬은 애플의 공증 절차를 무사히 통과하기까지 했다. “원래 애플은 자체 공증을 통해 앱에 악성 콘텐츠가 포함돼 있는지 확인하고, 있다면 차단합니다. 하지만 칠리헬은 개발자 서명까지 애플의 검사 필증을 받았습니다. 그래서인지 드롭박스에 공개적으로 호스팅 되어 있기도 합니다.”

칠리헬의 은폐성
요즘 멀웨어와 사이버 공격의 핵심은 ‘은밀함’이다. 공격자들은 들키지 않고 분석당하지 않는 걸 1순위로 삼고 멀웨어를 개발하고 공격 전략을 마련한다. 칠리헬도 그런 최근 트렌드를 답습하고 있다고 잼프는 설명한다. “은폐 기능이 상당히 교묘하며, 효과적입니다.”

현재까지 잼프가 발견한 칠리헬의 은폐 기법은 다음과 같다.
1) 타임스탬프 비틀기 : 생성한 파일의 시간을 타임스탬프로 조작, 파일이 실제보다 오래된 것처럼 보이게 하여 공격 발생 시기를 추측하기 어렵게 만든다.
2) C&C 통신 방식 교체 : 원격에 있는 C&C 서버와의 통신 방식을 바꿈으로써 탐지가 되지 않도록 한다.
3) 브라우저에서 구글 홈페이지(google.com)를 열어 사용자가 의심하지 못하게 만든다. 

이렇게 추적 기술과 분석가들을 속이면서 동시에 피해자 시스템에 오랜 시간 머무르기 위한 작업도 이어간다. 잼프가 발견한 ‘공격 지속성 확보’ 기술은 세 가지였다.
1) 사용자가 로그인 할 때마다 자동으로 실행되도록 론치에이전트(LaunchAgent)를 활용한다
2) 사용자가 로그인 하기 전, 시스템 자체가 부팅될 때 실행한다. 이 때 론치데몬(LaunchDaemon)을 활용한다.
3) 새 터미널 및 명령 창이 열릴 때마다 실행되도록 한다. 이 때는 셸 프로파일(Shell Profile)을 주입한다.

잼프는 바이러스토탈에서 새 칠리헬 샘플을 발견하자마자 분석을 시작했고, 그 결과를 애플과 곧바로 공유했다고 한다. 그래서 애플 측에서도 공증 과정에서 놓친 개발자 인증서와 서명을 적발해 폐기할 수 있었다. 이 때문에 피해가 확산되는 것을 막을 수 있었다고 한다.

Related Materials

• ChillyHell macOS Malware Resurfaces, Using Google.com as a Decoy - Hackread, 2025년 9월
• ChillyHell macOS Malware - Compromising Machines and Bypassing Notarization - CyberPress, 2025년 9월
• ChillyHell Malware Continues Targeting Mac Users With Advanced Evasion Tactics - Dataconomy, 2025년 9월
• A New macOS Backdoor Bypassed Apple Notarization for Years - SecurityOnline, 2025년 9월

맥OS의 안전 장치 우회해 민감 데이터 유출 가능

💡Editor’s Pick - 맥OS 세쿼이아 사용자, 15.4 이상 버전으로 업데이트 필요 - TCC라는 보안 장치 우회 가능성 발견돼 - 아이클라우드에까지 영향 줄 수 있는 취약점 맥OS의 TCC에서 데이터 유출 취약점이 발견됐다. MS의 연구원들이 발견해 제보한 것으로, 현재는 해결된 상태다. 아직까지는 이 취약점으로 인한 피해 상황은 보고되지 않고 있지만, 원래

The Tech Edge문가용 기자

왓츠앱, iOS·macOS 대상 ‘제로 클릭’ 취약점 스파이웨어 공격에 악용

💡Editor Pick - 메신저 앱 왓츠앱에서 제로클릭 취약점 긴급 패치 - CVE-2025-55177, 사용자 이벤트 없이 트리거 가능하며 즉각 패치 요망 - 피해 대상 기기 사용자에게 경고 메시지 발송 메타(Meta) 산하 메신저 앱 왓츠앱이 애플 iOS와 macOS 기기에서 발견된 ‘제로 클릭(Zero-Click)’ 취약점을 긴급히 수정하는 보안 업데이트를 배포했다. 이번 취약점은

The Tech EdgeChiefEditor