Mac에서 의심스러운 네트워크 활동을 탐지하는 방법

새벽 2시에 팬이 돌아갑니다. 친구가 은행이 비정상 로그인을 표시했다고 언급합니다. 개발 환경 변수를 유출하는 악성 npm 패키지에 대한 스레드를 읽습니다. 갑자기 Mac의 모든 깜빡임이 의심스럽게 느껴집니다. 대부분의 경우 그렇지 않습니다 — macOS는 설계상 수다스럽습니다 — 하지만 정상 백그라운드 잡음과 Mac 사용자가 실제로 조사해야 할 의심스러운 네트워크 활동을 구별하는 방법을 아는 것은 가질 만한 가치가 있는 기술입니다. 공포 조성 없는 차분한 체크리스트입니다.

이 전제에서 시작하세요. 건강한 Mac의 예상치 못한 트래픽의 대다수는 양성입니다. iCloud, Time Machine, 푸시 알림, 소프트웨어 업데이트, 설치한 앱의 텔레메트리 — 모두 이상한 시간에 트래픽을 생성합니다. 이 체크리스트의 요점은 정말로 두 번 살펴볼 가치가 있는 작은 패턴 집합을 인식하는 것입니다.

"정상 잡음"이 어떻게 보이는가

의심스러운 신호를 발견하기 전에, 신뢰하는 Mac에서 백그라운드 트래픽이 어떻게 보이는지 알아야 합니다.

Apple 시스템 서비스

이는 즉시 인식하지 못하는 PID 아래에 나타납니다. 흔한 것:

• cloudd — iCloud 동기화(사진, Drive, iCloud 키체인)
• bird — 마찬가지로 iCloud(네, 데몬이 두 개입니다)
• apsd — Apple Push Notification 서비스(항상 켜짐, 낮은 속도)
• nsurlsessiond — 백그라운드 URLSession 전송(App Store, OS 업데이트, 네트워크 대상으로의 Time Machine)
• softwareupdated — macOS 업데이트 확인(가끔의 폭발)
• gamed, imagent, identityservicesd — Game Center, iMessage, FaceTime 프레즌스
• mDNSResponder — 로컬 Wi-Fi의 Bonjour 발견(로컬 전용, 인터넷 아님)
• syspolicyd, trustd — 코드 서명 및 인증서 검증(작고 자주)
• parsecd, Siri 계열 — Spotlight 제안, Siri

바이트로 정렬했을 때 이 이름들과 브라우저, 채팅 앱만 보인다면 Mac은 괜찮습니다.

서드파티 "동기화" 앱

"파일을 어디서나"를 약속하는 모든 것은 지속적으로 실행됩니다.

• Dropbox, Google Drive, OneDrive, Box
• 1Password 동기화, Bitwarden
• Notion, Obsidian Sync, Bear, Things
• Spotify, 음악(카탈로그 업데이트, 동기화)
• VPN 클라이언트(TailscaleApp, NordVPN) — 터널을 살려 둠

정상 상태에서 트래픽은 작고, 동기화하는 무언가를 변경하면 폭발합니다. 정상 상태 유휴 트래픽은 정상입니다.

백그라운드의 브라우저

Chrome과 Safari는 확장의 업데이트 서버, 동기화 엔드포인트, 그리고 잊고 있던 고정 탭(Slack 웹 탭, 캘린더, YouTube Music 탭)에 대한 연결을 유지합니다. 유휴의 브라우저는 여전히 바이트를 움직입니다.

Mac 사용자가 조사해야 할 의심스러운 네트워크 활동의 신호

이제 실제 의심스러운 패턴입니다. 이는 더 가까이 봐야 할 패턴입니다 — 공황이 아니라 그저 살펴보기.

1. 알려진 프로세스에서 알려지지 않은 목적지

신뢰하는 프로세스(가령 IDE 또는 지난달에 설치한 작은 유틸리티)가 인식하지 못하는 IP 공간에 연결합니다. 확인할 만합니다. 가장 간단한 도구:

• lsof -i -P -n -p <PID> — 그 PID가 연 모든 연결, 원격 IP와 포트와 함께
• IP에 대한 whois 또는 역방향 DNS 조회(dig -x <ip>)
• IP 검색 — 대부분의 정당한 클라우드 엔드포인트(AWS, GCP, Azure, Cloudflare)는 즉시 명백합니다

여기서 의심스럽다는 것은: 가정용 ISP IP 공간에 연결하는 작은 유틸리티, 인식하지 못하는 도메인에 도달하는 불법 복제 앱, 자신의 목적과 명백한 연결이 없는 서버에 핑하는 npm 또는 pip의 CLI 도구.

2. 자기 컴퓨터에서의 영업 외 시간 업로드

업로드할 이유가 없는 앱이 새벽 3시에 안정적으로 업로드하는 것 — 그것은 실제 신호입니다. 이것에 조심하세요. 정당한 경우는 네트워크 대상으로의 Time Machine, iPhone 백업 후 따라잡고 있는 사진 동기화, 큰 iCloud Drive 동기화를 포함합니다.

하지만 인식하지 못하는 앱이 자는 동안 한 시간 동안 지속적으로 수백 메가바이트를 보내고 있다면 — 조사하세요.

3. 비정상 포트

대부분의 현대 앱은 포트 443에서 HTTPS를, 80에서 HTTP를 사용합니다. 일부 정당한 예외: SSH(22), 이메일(25/465/587/993/995), DNS(53/853), 데이터베이스 클라이언트(5432, 3306, 27017, 6379), 게임 클라이언트(어떤 범위든 그들이 고름), VPN(1194, WireGuard의 경우 51820), Tailscale(41641 UDP).

명확한 이유 없이 4444, 6667(IRC) 또는 임의의 높은 포트로의 외부 연결은 살펴볼 만합니다. 오직 비표준 포트에서만 통신하고 절대 443을 사용하지 않는 앱도 마찬가지입니다.

4. 한 앱에서의 지속적인 재연결

프로세스가 연결을 열고, 닫히고, 또 다른 것을 열고, 사이클이 몇 초마다 반복됩니다. 잘못 구성된 VPN이 재연결하는 것일 수 있습니다. 렌더러가 루프에서 충돌하는 Electron 앱일 수 있습니다. 깜빡이는 프록시를 통해 본부에 전화하려는 정보 도용 프로그램일 수 있습니다.

연결 속도(프로세스당 초당 연결)는 바이트 속도보다 더 민감한 신호입니다.

5. 설치하지 않은 새 프로세스

이전에 본 적 없는 이름으로 대역폭 목록에 나타나며, /Applications에 .app 번들이 없고, 추가한 기억이 없는 /tmp나 ~/Library/LaunchAgents의 실행 파일. 이는 정형적인 멀웨어 모양입니다. 다음으로 확인하세요.

launchctl list | grep -v com.apple

…Apple의 것이 아닌 활성 launchd 작업을 보기 위해. 그리고:

ls -la ~/Library/LaunchAgents/ /Library/LaunchAgents/ /Library/LaunchDaemons/

…지속성 파일을 보기 위해. 대부분의 항목은 정당하지만(Dropbox, Spotify 등), 인식하지 못하는 것은 찾아보세요.

6. 보통 조용한 프로세스의 갑작스러운 급증

Spotlight(mds_stores)는 보통 네트워크 I/O를 하지 않습니다. 코드 서명 데몬은 업로드해서는 안 됩니다. 정당한 프로세스가 갑자기 자신의 범주 밖으로 동작하는 것은 신호입니다. 때때로 동작을 변경하는 소프트웨어 업데이트에서 옵니다. 때때로 다른 것에서 옵니다.

차분한 체크리스트

당황하기 전에 이 목록을 실행하세요. 약 10분 걸립니다.

1. 활성 상태 보기 → 네트워크 탭 확인. 초당 보낸 데이터와 초당 받은 데이터로 정렬하세요. 인식하지 못하는 상위 5개의 어떤 것이든 기록하세요.
2. 각 알려지지 않은 프로세스에 대해: 우클릭 → 검사 → 열린 파일 및 포트. 어떤 주소와 통신하고 있나요? 번들 경로가 /Applications 아래인가요? ~/Library 아래인가요? /tmp 아래인가요?
3. 번들 ID 조회. mdls -name kMDItemCFBundleIdentifier <path>. 검색하세요. 정당한 앱은 명확한 결과를 보여줍니다.
4. launchd 지속성 확인. launchctl list | grep -v com.apple과 위에 나열된 LaunchAgents/Daemons 폴더.
5. 프로세스에 대한 통합 로그 확인. log show --last 1h --predicate 'process == "Suspicious"' --info — 무엇을 하고 있었는가?
6. 설치된 확장 확인. 네트워크 확장에 대해 systemextensionsctl list. 설치하지 않은 모든 것은 찾아보세요.
7. 평판 좋은 스캐너 실행. Mac용 Malwarebytes와 KnockKnock(Objective-See에서)는 둘 다 무료이고 평판이 좋습니다. 무오류는 아니지만 명백한 것을 잡습니다.
8. 여전히 확실하지 않다면 스냅샷 후 물어보세요. 의심스러운 프로세스의 검사 패널의 스크린샷과 launchctl 목록의 붙여넣기는 경험 있는 사람이 분류하기에 충분합니다.

ova 작동 모습 보기

한눈에 볼 수 있는 메뉴 바 대역폭 모니터 — 로컬, 서명, 약 3MB.

macOS용 다운로드

수동적 모니터가 도움이 되는 이유

의심스러운 활동을 조사하는 가장 어려운 부분은 그것이 일어날 때 거기 있는 것입니다. 팬이 돌고 있을 때쯤이면 문제의 프로세스는 멈췄을 수 있습니다. 활성 상태 보기를 열 때쯤이면 급증은 사라집니다.

ova 같은 메뉴 바 대역폭 모니터는 수동적이고 지속적이기 때문에 도움이 됩니다. 약 1Hz로 샘플링하고 기록을 로컬에 저장하므로, 마침내 팬을 알아챘을 때 지난 몇 시간을 거슬러 스크럽하고 그 시점에 네트워크가 정확히 어떻게 보였는지 볼 수 있습니다. 앱별, 도우미 접힘, 타임라인에서.

그것이 진짜 EDR 도구를 대체하지는 않습니다(진지한 위협 모델을 위해 그것이 존재합니다). 하지만 개인 사용을 위해서는 찾고 있는 신호를 볼 가능성을 극적으로 향상시킵니다.

무서워 보이지만 보통 그렇지 않은 것

"의심스러워 보였지만 정상으로 판명된" 짧은 목록:

• 새 Wi-Fi 네트워크에서 mDNSResponder의 폭발. Bonjour 발견. 정상.
• Apple 서버에 연결하는 identityservicesd. iMessage / FaceTime 프레즌스. 정상.
• *.push.apple.com에 지속적인 연결을 유지하는 apsd. 푸시 알림. 정상.
• 가끔 도달하는 com.apple.geod. 지도 및 위치 서비스. 정상.
• triald, parsecd, searchpartyd. Apple 연구 / Spotlight / 나의 찾기. 정상.
• softwareupdated 활동 직후 거대한 다운로드 폭발. macOS 업데이트. 정상.
• 17.x.x.x로의 연결. 그것은 Apple의 IP 범위입니다. 정상.

의심스러울 때, 프로세스 이름과 "macOS"를 검색하세요. 대부분의 Apple 데몬은 잘 문서화되어 있습니다.

실제로 드문 것

다음을 하는 사용자에게 개인적으로 관리되는 Mac에서의 진정한 침해는 흔하지 않습니다.

• App Store와 공증된 앱을 고수
• 불법 복제 소프트웨어를 실행하지 않음
• 읽지 않고 무작위 사이트의 셸 스크립트를 붙여넣지 않음
• macOS를 최신 상태로 유지
• 중요한 계정에 비밀번호를 재사용하지 않음

오늘날 가장 흔한 실제 위협은 "Mac 바이러스"가 아니라 크랙된 앱과 함께 번들된 도용 멀웨어, 개발자를 표적으로 하는 악성 npm/pip 패키지, curl-pipe-bash 명령을 실행하라고 요청하는 피싱 페이지입니다. 방어는 항상 같았습니다. 무엇을 설치하는지 조심하세요, 무엇을 터미널에 붙여넣는지 조심하세요.

마무리

Mac 사용자가 실제로 걱정해야 할 의심스러운 네트워크 활동은 실재하지만 느껴지는 것보다 더 드뭅니다. 대부분의 설명되지 않은 트래픽은 iCloud, Apple Push, 동기화 앱, 또는 잊혀진 브라우저 탭입니다. 조사할 만한 신호는 익숙한 프로세스에서의 알려지지 않은 목적지, 업로드해서는 안 되는 앱의 영업 외 시간 업로드, 지속적인 재연결, 비정상 포트, launchd에 나타나는 익숙하지 않은 프로세스입니다. 위의 차분한 체크리스트는 약 10분 걸리고 대부분의 경우를 해결합니다.

무언가가 이상해 보일 때 거슬러 볼 수 있도록 수동적이고 지속적인 인식을 위해 ova를 설치하세요. 약 3MB, macOS 14 이상, Apple Silicon과 Intel, 약 1Hz로 샘플링, 모든 데이터는 디스크에 로컬로 머무릅니다. 방화벽도 EDR도 아닌 — 그저 앱이 무엇을 하고 있는지의 명확한 뷰, 필요할 때 사용 가능합니다.