[2025년 12월] - Genian EDR을 활용한 macOS 위협 분석(Persistence#2)

공격자는 피해자의 시스템에 침투한 이후, 지속성(Persistence)을 확보하기 위한 과정을 수행합니다.

지속성을 확보하지 못한다면 시스템 재시작, 계정 변경 등의 이유로 액세스를 유지하지 못해 정보 유출, 파일 암호화 등의 최종적인 목표를 이룰 수 없기 때문입니다.

따라서 공격자들은 지속성을 유지하는 기술을 연구하며, 발전시키고 있습니다.

이번 블로그에서는 실제 이슈가 되었던 악성코드 사례를 통해 공격자들이 macOS 환경에서 어떤 기술을 통해 지속성을 확보하는지 분석하고, Genian EDR을 활용해 탐지하는 내용을 다룹니다.

APT37 그룹이 수행한 '아르테미스(Artemis)' 작전 캠페인이 식별됐습니다.

위협 행위자는 HWP 문서 내부에 악성 OLE 개체를 은밀하게 삽입하는 방식을 활용했습니다. 
사용자가 문서 내용을 신뢰하고 하이퍼링크를 클릭하면 공격 체인이 시작되도록 설계되어 있습니다.

OLE 개체가 로드될 경우, 정상 프로세스가 먼저 작동되고 최종적으로 악성 DLL을 호출하여 페이로드를 구동합니다.
이러한 다단계 절차는 합법적 프로세스 흐름을 악용해 시그니처 기반 보안 제품의 의심 탐지를 회피하는 효과를 노립니다. 

이처럼 본 캠페인에서는 정상 프로세스를 악용한 탐지 회피 전략, 다단계 실행 체인, 정상 실행 흐름과 악성 행위를 교묘히 혼합한 고도화된 기법이 사용되었습니다.

유통 전문 기업은 여러 국가에 걸쳐 매장, 물류센터, 사무실 등을 운영하기 때문에 네트워크 인프라가 매우 복잡합니다. 

중동의 한 가구 유통 회사 역시 기기 가시성 부족과 매장 간 보안 정책의 편차, IT 운영팀의 관리 부담 등으로 어려움을 겪고 있었습니다.

이를 근본적으로 해결하기 위해 고객사는 온프레미스 NAC 도입을 시작으로, 클라우드 NAC로 전환하며 운영을 효율화했습니다.
클라우드 기반으로 중앙 관리 구조를 구축해 모든 지점의 기기 현황을 실시간으로 확인하고, 국가 편차 없이 일관된 정책을 적용할 수 있었습니다.

이번 고객 사례에서는 Cloud NAC를 통해 지역 간 보안 편차를 최소화하고, 글로벌 네트워크 통합 관리의 기반을 갖추게 된 중동 유통 기업에 대해 살펴봅니다.