나는 MacBook이 다른 노트북보다 상대적으로 안전하다고 생각했지만, 내 생각은 틀렸다는 것이 입증되었습니다. 당혹스럽고 명백히 잘못된 것입니다. Sophos X-Ops의 새로운 보고서는 내 코를 문지르는 데 노력을 아끼지 않았습니다.
이 회사의 연구원들은 2025년 11월부터 2026년 2월 사이에 세 가지 별도의 공격 캠페인을 추적했는데, 모두 MacSync infostealer라는 것을 사용하여 macOS 사용자를 표적으로 삼았습니다. 따라잡으려면 암호와 저장된 자격 증명을 조용히 샅샅이 뒤져 디지털 소매치기처럼 행동하는 악성 코드 유형입니다.

그렇다면 실제로 어떻게 작동합니까?
이 악성코드는 최소한의 기술적 노력이 필요한 ClickFix라는 전달 방법을 사용했습니다. 피해자가 명령을 복사하여 Mac 터미널(텍스트 기반 명령을 실행하고 실행하도록 설계됨)에 붙여넣고 키보드에서 Enter 키를 누르기만 하면 됩니다.
첫째, 악의적인 행위자는 Google의 스폰서 광고(합법적인 링크 바로 위에 있음)를 통해 유포되는 가짜 OpenAI 다운로드 페이지를 사용했습니다. 그런 다음 공격자는 “유용한 Mac 가이드”로 위장한 후면 ChatGPT 공유 대화를 공유하기 시작했습니다.
이 가이드는 신중하게 작성된 소프트웨어 설치 지침이 포함된 가짜 GitHub 페이지로 사용자를 안내했지만 실제로는 ManSync infostealer가 백그라운드에서 작동할 수 있도록 터미널 명령을 복사하도록 사용자에게 요청했습니다. 그게 다야; 그게 공격의 전부입니다.

얼마나 나빠졌나요?
Sophos는 2025년 12월까지만 해도 악의적인 행위자가 이러한 악성 도메인에서 50,000회 이상의 클릭을 라우팅했다는 사실을 알아냈습니다. “클릭”은 누군가가 악성 터미널 명령을 복사했음을 의미하지만 반드시 악성 코드가 성공적으로 설치되었다는 의미는 아닙니다. 실제 감염자 수는 더 낮을 수 있습니다.
개발자들은 2026년 2월 공격 방법에 또 다른 변화를 가해 Gatekeeper 및 XProtect와 같은 유능한 macOS 보안 도구를 우회하여 백그라운드에서 자동으로 실행되도록 했습니다. 매우 실제적인 방법으로 원장 암호화폐 지갑의 24단어 마스터 키를 패치할 수 있습니다.
회사는 최근 기사를 게시하기 몇 주 전(아마도 3월 초 말까지) 북미, 남미 및 인도 일부를 포함한 주요 시장에서 감염 클러스터가 활발했다고 보고했습니다.
더욱이, “Mac은 안전하다”는 생각은 적어도 당분간은 사실이 아닙니다. AI 플랫폼의 인기가 높아지고 더 중요하게는 수백만 명의 사용자의 신뢰를 얻으면서 악의적인 행위자들이 LLM 기반 도구를 활용하는 새로운 방법을 고안하고 있습니다. 지금은 Mac 터미널에 텍스트 기반 명령을 붙여넣지 않는 것이 좋습니다.