텔레그램으로 메시지 하나가 도착한다. 누군가 미팅을 요청한다. 링크를 클릭하면 완벽해 보이는 Zoom 페이지가 열린다. 작은 기술적 문제가 있다고 한다. 걱정할 것 없다. Mac 터미널을 열고 명령어 하나만 붙여 넣으면 해결된다고 안내한다.
끝이다. 이미 침투당했다.
이것이 Mach-O Man이다. 평양의 라자루스 그룹(Lazarus Group)이 배포한 최신 악성코드 킷이다. CertiK에 따르면, 동일 조직이 2026년 4월 1일 Drift Protocol에서 2억 8,500만 달러, 4월 18일 KelpDAO에서 2억 9,200만 달러를 탈취한 것으로 확인됐다.
단 18일 만에 두 번의 공격. 총 5억 7,500만 달러 이상. 이제 세 번째 공격 벡터가 등장했다. 업비트·빗썸 등 국내 거래소를 이용하는 한국 투자자와 Web3 종사자도 결코 안전하지 않다.
Mach-O Man은 어떻게 작동하는가?
TL;DR: 라자루스 그룹의 Mach-O Man은 가짜 화상회의 링크를 통해 macOS 터미널 명령어 실행을 유도한다. 크리덴셜·키체인·브라우저 세션 등을 탈취한 후 자동으로 흔적을 지운다.
이 캠페인은 2026년 4월 21일 Bitso의 보안팀 Quetzal과 사이버 위협 분석 플랫폼 ANY.RUN이 공동으로 식별했다. 악성코드는 Apple 네이티브 실행 형식인 Mach-O 바이너리로 구성돼 있어 대부분의 전통적인 보안 도구로는 탐지가 불가능하다.
공격 체인은 총 4단계로 구성된다:
- 유인(Lure): 탈취된 계정에서 발송된 긴급 텔레그램 메시지로 Zoom, Teams, Google Meet 화상통화 참여를 요청한다
- 클릭픽스(ClickFix): 가짜 페이지가 연결 오류를 표시하며 "문제 해결"을 위해 macOS 터미널에 명령어를 붙여 넣도록 유도한다
- 스테이저(Stager): 해당 명령어가
teamsSDK.bin을 실행하고, Gatekeeper를 우회하는 임시 서명이 적용된 가짜 앱 번들을 다운로드한다 - 데이터 탈취(Exfiltration): Chrome·Safari·Firefox·Brave·Opera의 브라우저 세션, 키체인 데이터, 크리덴셜을 수집한 후 악성코드 자체가 자동 삭제된다
Mauro Eldritch
Drift와 KelpDAO와의 연결고리
CertiK는 Mach-O Man과 4월의 두 대형 익스플로잇 간 직접적인 연관성을 공식 확인했다. 공격 방식은 동일하다. 기술적 취약점이 아닌 소셜 엔지니어링이 핵심 침투 경로다. Drift에서는 멀티시그 거버넌스가 소셜 엔지니어링으로 조작됐고, KelpDAO에서는 RPC 인프라가 내부에서 침해됐다.
CertiK의 시니어 블록체인 보안 연구원 Natalie Newson은 명확하게 밝혔다:
"이것은 무작위 해킹이 아니다. 기관 수준의 속도와 규모로 운영되는 국가 주도 금융 작전이다."
담당 조직은 라자루스 그룹의 작전 부서인 Famous Chollima다. Elliptic에 따르면 2026년에만 18건의 공격이 이 조직에 귀속됐다. 2017년부터 현재까지 탈취한 총액은 약 67억 달러에 달하며, 유엔에 따르면 이 자금은 김정은의 핵무기 개발 프로그램에 직접 투입되고 있다.
Lazarus Group Just Released "Mach-O Man" – A Brand-New Native macOS Malware Kit Targeting Fintech, Crypto, and High-Value Executives
— Vladimir S. | Officer's Notes (@officer_secret) April 21, 2026
You get an "urgent" meeting invite over Telegram for a Zoom, Teams, or Google Meet call. The link leads to a convincing fake website that tells…
Mac 사용 암호화폐·Web3 종사자를 위한 필수 보안 체크리스트
Bitso와 CertiK 연구진이 권고하는 대응책이다. 국내 DeFi 컨트리뷰터, 거래소 직원, 펀드 매니저라면 즉시 확인해야 한다.
- 웹페이지 안내나 채팅 링크를 통해 터미널 명령어를 절대 실행하지 말 것
- 모든 미팅 초대는 별도의 독립 채널(전화, 기업 이메일)을 통해 반드시 진위 확인
- OneDrive 또는 백신 프로그램으로 위장한 의심 프로세스 여부 확인을 위해 LaunchAgents(~/Library/LaunchAgents) 점검
- Quetzal Team이 공개한 침해 지표(IoC) 차단: IP 172.86.113.102 및 144.172.114.220
- 하드웨어 월렛은 일상 업무용 기기와 반드시 분리해 사용
- 실시간 업데이트 확인을 위해 SpazioCrypto 해킹 섹션을 즐겨찾기에 추가
Mach-O Man 악성코드란 무엇인가?
Mach-O Man은 라자루스 그룹이 2026년 4월 배포한 macOS 네이티브 악성코드다. 가짜 화상회의 링크를 통해 피해자가 터미널 명령어를 실행하도록 유도해 크리덴셜과 키체인 데이터를 탈취한다.
라자루스 그룹은 왜 Mac 사용자를 노리는가?
Mac은 암호화폐·핀테크 업계 임원들이 주로 사용하며, Mach-O 바이너리 기반 악성코드는 전통적인 보안 도구로는 탐지가 어렵기 때문이다.
Mach-O Man 공격을 어떻게 막을 수 있나?
화상통화 중 터미널 명령어 실행을 거부하고, LaunchAgents 폴더를 정기 점검하며, 침해 지표 IP 172.86.113.102와 144.172.114.220을 차단하면 된다.
라자루스 그룹은 지금까지 얼마나 탈취했나?
2017년부터 2026년까지 약 67억 달러를 탈취한 것으로 추산되며, 유엔은 이 자금이 북한 핵무기 프로그램에 사용된다고 밝혔다.
핵심을 분명히 이해해야 한다. 라자루스는 스마트 컨트랙트를 해킹할 필요가 없다. 당신이 터미널을 열고 무해해 보이는 명령어 하나를 붙여 넣기만 하면 된다. 파운더, CTO, 상당한 자산을 보유한 트레이더, DeFi 컨트리뷰터라면 이미 표적 목록에 올라 있다. Newson의 말처럼, 아마 당신은 아직 그 사실을 모르고 있을 것이다.
