2023-08-26(Sat) by Kyle Barr
[Image: Nick Bakhur (Shutterstock)]
Mac의 다크모드를 지원하는 앱 'NightOwl'은 최근 업데이트로 봇넷을 통해 유저들의 데이터를 빼돌린 것으로 드러났다
2018년 macOS Mojave 초기 단계에서는 Apple이 시간에 따라 자동으로 다크모드나 라이트모드로 전환하는 서비스를 제공하지 않았다. 이에 등장한 NightOwl과 같은 앱은 Mac의 백그라운드에서 동작하며 다크모드를 지원해 호응을 얻었다.
2021년 macOS에서 "Night Shift" 다크모드를 시작하며 NightOwl 앱은 잊혀진 듯 했으나 우연한 계기들로 인해 보안 문제가 발견되었다. 지난 6월 업데이트 이후, 앱이 백그라운드에서 실행되는 동안 일명 봇넷이라 불리는 서버 네트워크를 통해 사용자들의 IP 데이터를 탈취하고 있었던 것이다.
웹 개발자 Taylor Robinson가 밝힌 바에 따르면, 6월 13일 발표된 NightOwl의 0.4.5.4 버전이 유저들의 동의 없이 그들의 컴퓨터를 일종의 봇넷 에이전트로 바꾸는 장치를 심고 로컬 HTTP 프록시를 실행해 데이터를 빼돌렸다. 참고로 이 봇넷 설정은 앱을 통해 비활성화할 수 없으며 Mac 터미널 앱에서 코드의 흔적을 제거해야만 가능하다.
Robinson에 의하면 유저가 Mac 부팅 시 봇넷 연결이 강제 실행되기 때문에 앱이 익명으로 설계된 것으로 보인다. 그는 이와 전혀 관련 없는 일로 네트워크 트래픽을 분석하던 도중 모든 트래픽이 엉뚱한 사이트로 전송되는 것을 알아차렸다. 물론 봇넷이 광고 수익을 낸다거나 사용자 데이터를 판매하는 것은 일반적인 관행이지만 이렇게 부팅할 때마다 소프트웨어를 강제로 설치하는 것은 이례적인 상황이다.
지금까지 14만 회 이상의 다운로드를 기록하고 현재 2.7만 명의 앱 유저를 보유한 NightOwl은 현재 웹과 앱에서 모두 서비스가 중단되어 얼마나 많은 피해자가 발생했는지는 알 수 없다. NightOwl의 입장은 아래와 같다:
"NightOwl은 어떤 형태의 악성코드도 포함하고 있지 않다. 현재의 논란은 잘못된 인식에 기초하고 있으며, 우리는 이 상황을 즉시 시정하기 위해 모든 주요 바이러스 백신 회사와 적극 협력하고 있다."
"우리는 수익화를 위해 주거용 프록시 서비스와 파트너십을 맺었다. 파트너가 앱 유저의 IP 주소를 통해 일부 요청을 보낼 수 있도록 그들의 SDK를 앱에 연결했다. 유저의 IP 주소만을 수집할 뿐 다른 데이터는 수집하지 않는다. 이는 약관에 공개되어 있다."
"일부 우려를 감안하여 유저들이 이를 제외할 수 있는 옵션을 제공하기 위해 노력하고 있다. 앱을 재출시하게 된다면 이 SDK를 완전히 제거하거나 사용하지 않도록 설정하는 쉬운 옵션을 제공할 것이다."
TOS는 NightOwl이 유저들의 컴퓨터를 "게이트웨이"로 만들어 그들의 인터넷 트래픽을 제 3자에게 준 것이라 말했다. 앱이 유저들의 기기 네트워크 설정을 수정하고, 그 기기가 "웹과 시장 조사, SEO, 브랜드 보호, 콘텐츠 전달, 사이버 보안 등을 전문으로 하는 회사를 포함하여, NightOwl 앱의 고객들을 위한 관문 역할을 한다"고 말했다.
Mac에 NightOwl이 설치되어 있으면 즉시 제거바라며, 자세한 방법은 Robinson의 블로그에서 확인할 수 있다.
NightOwl을 매각하자 트로이의 목마로 변했다
독일의 개발자 Benjamin Kramser가 만든 NightOwl은 몇 년 후인 2022년 11월 TPE.FYI LLC에 의해 인수되었다. 이 회사는 Keeping Tempo 라는 회사에 의해 주식이 상장되었는데, 음악 시장에서 Ticketmaster의 독점에 대항하고자 등장한 곳이다. 최신 정보에 의하면 LCC는 올해 초 프랜차이즈 세금신고서를 제출하지 못해 비활성화되었으나, 문제의 6월 업데이트에 여전히 이름이 자리하고 있었다.
NightOwl의 기존 유저와 Gizmodo 기자가 Kramser에게 관련 내용에 대해 문의했으나 돌아오는 답변은 "시간적 제약으로 인해 작년에 회사를 팔았다"며 현재의 앱 소유주에 대해서는 함구했다. 그는 "TPE.FYI LLC사는 타사 SDK를 통합하여 앱을 수익화하기로 선택했다. 이 결정은 어떤 식으로든 저와 관련이 없으며 지지하지도 않는다"고 밝혔다.
설사 Kramser가 매수 회사의 악의에 대해 몰랐다하더라도 Robinson은 앱 매수에 회의적일 수 밖에 없는 충분한 이유가 있다고 말했다. "수상한 회사가 당신의 앱을 매수하겠다고 제안했을 때, 그들이 유저에게 긍정적인 방식으로 투자금을 회수하지 않을 것이라는 걸 알아야 한다. 물론 SNS의 일부가 말하듯, 그렇다고 해서 Kramser가 나쁘다고 말할 수는 없다."
기존의 앱들은 어떤 식으로 변질되는가
신뢰성 있어 보이는 앱들이 유저들의 컴퓨터에 설치된 후 트로이의 목마로 변한 것은 이번이 처음이 아니다. 합법적인 듯 보이나 소비자들의 신뢰를 남용하곤 했다. 지난 2013년, Brightest Flashlight 앱은 유저들의 위치와 기기 정보를 제 3자에게 전송한 것으로 알려져 연방거래위원회에 소송을 당했고, 결국 해당 개발자는 공정위와 보상 합의를 했다.
2017년 SmilarWeb이 매수한 Stylish 브라우저 확장 프로그램은 유저들의 웹사이트 방문을 기록하기 시작했고, 또 다른 확장 프로그램인 The Great Suspender은 2020년 익명의 그룹에 매각된 후 악성코드로 표시되었다. 이 모든 앱든은 누구도 침입의 신호를 인식하기 전에 이미 수백만 명에 달하는 유저들을 보유하고 있었다. 이 새로운 소유주들은 유저들의 데이터를 수집해 제 3자에게 노력도, 도덕성도 없이 팔았던 것이다.
앱 개발은 어렵고 비용이 많이 드는 일이기에 매각의 기회가 온다면 유혹에 빠질 수 밖에 없을 것이다. Robinson 조차도 그런 경험이 있다며 "당신의 짐을 덜어줄 누군가에게 앱을 팔 수 있는데 왜 당신이 얻을 수 없는 것에 시간을 낭비하겠나. 그런 개발자들의 재정 상태를 확신할 수는 없지만, 매번 월세를 내는 데 고군분투하고 한 달에 5자리 숫자(USD)로 월급을 받는다면 아마 당신도 큰 돈을 받고 약간의 도덕성을 버리게 될 것이다."라고 말했다.
[뉴스 출처] https://gizmodo.com/how-nightowl-for-mac-added-a-botnet-1850740785
