사용자의 동의 없이 시스템을 암호화시킨 후, 이를 인질로 몸값을 요구하는 랜섬웨어가 처음으로 맥에서 발견됐다고 로이터가 6일(현지시각) 보도했습니다.

보안회사인 팰로앨토 네트웍스에서 발견한 이번 랜섬웨어는 OS X 전용 토렌트 앱인 트랜스미션 버전 2.90 내에서 발견된 것으로, ‘KeRanger’라고 명명된 해당 랜섬웨어는 현지시각으로 지난 5일에 처음으로 트랜스미션의 웹사이트에 등장했고, 3일의 잠복기를 가지고 있다고 합니다. 해당 랜섬웨어에 감염된 맥은 이르면 7일부터 증상이 나타날 수 있다는 뜻입니다. 거기에 KeRanger는 OS X의 내장 백업 솔루션인 타임 머신도 암호화를 걸어버릴 수 있다고 합니다.

트랜스미션 사이트에서는 해당 문제를 해결한 2.92 버전을 곧바로 배포하기 시작했고, 시스템이 랜섬웨어에 감염됐는 지 확인하는 방법도 같이 공지했습니다.
응용 프로그램 - 유틸리티 - 활성 상태 보기 앱을 켜서 ‘kernel_service’라는 프로세스가 돌아가고 있는 지를 확인합니다. (오른쪽 상단에 있는 검색창을 통해 검색할 수 있습니다) 만약에 있다면, 해당 프로세스를 더블클릭 한 후, ‘파일 및 포트 열기’ 탭에서 “/Users//Library/kernel_service’라는 파일이 있는 지를 확인합니다. 만약에 있다면 곧바로 프로세스를 종료시키고, 타임머신 백업을 한 상황이라면 타임머신을 통해 5일 이전의 백업으로 복구를 하면 됩니다. 혹은 2.92 버전을 설치해 트랜스미션이 알아서 'KeRanger'를 삭제하도록 할 수도 있습니다.

애플 대변인은 통해 팰로 앨토 네트웍스에게 연락을 받은 즉시 해당 랜섬웨어와 묶여 있는 등록된 애플 개발자에 대한 디지털 서명을 바로 중지시켰다고 밝혔습니다. OS X에서 확인되지 않은 개발자의 앱은 실행을 차단하는 게이트키퍼 기능을 쓰고 있다면 문제가 되는 트랜스미션 버전을 설치하지 않도록 막을 수는 있지만, 이미 랜섬웨어에 감염된 상황에서는 위의 방법이나 트랜스미션의 2.92 버전을 설치하는 것이 KeRanger를 완전히 지울 수 있는 방법입니다.

시스템을 암호화하고 이를 푸는 댓가로 돈을 요구하는 방식은 윈도우 PC는 물론 안드로이드, 아이폰 사용자까지 위협하고 있는데요. OS X에서 발견된 것은 이번이 처음입니다. 맥의 사용자 수가 꾸준히 늘면서 이제는 맥 사용자도 바이러스나 맬웨어에서 완전히 안전하지는 못하게 됐습니다.

[Update 2016/3/7]: 트랜스미션에서 새로운 2.92 버전을 배포했습니다. 2.92에서는 해당 맥이 'KeRanger'에 감염된 것이 확인되면 확실하게 랜섬웨어를 맥에서 제거하는 기능이 포함됐다고 합니다. [리뷰전문 유튜브 채널 더기어TV]