방금 겉보기에는 아주 평범한 작은 도구를 내려받았다. 아이콘도 비슷하고, 웹사이트도 비슷하고, 기능도 비슷하다. 처음 실행하자 Mac이 비밀번호 입력을 요구한다. 문구도 과장되어 보이지 않는다. “설치를 완료하려면 권한이 필요합니다”일 수도 있고, “기능을 활성화하려면 비밀번호를 입력하세요”일 수도 있다.

많은 사람은 바로 이 순간 비밀번호를 입력한다. 보안을 몰라서가 아니다. 이런 안내는 실제 macOS에서도 자주 나오기 때문이다. 도구 설치, 손쉬운 사용 권한 켜기, 시스템 설정 변경, 구성요소 업데이트 모두 관리자 비밀번호를 요구할 수 있다.

PamStealer가 Maccy로 위장한 사건은 문제가 가짜 웹사이트나 가짜 앱에만 있지 않다는 점을 보여준다(관련 보도와 기술 분석은 문말의 참고 자료를 참조). 더 까다로운 점은 공격자가 “사용자가 이미 익숙해진 Mac 비밀번호 입력창”을 공격 흐름의 일부로 만들었다는 것이다. 이 미니 레슨은 악성코드 이름을 외우라고 하지 않는다. 대신 이를 반복해서 쓸 수 있는 멈춤 절차로 바꾼다. 다음에 어떤 도구든 Mac 비밀번호를 요구하면, 먼저 3분 동안 그 요청을 신뢰해도 되는지 판단하자.

이 레슨에서 가져갈 것

이 글에서 가져갈 것은 세 가지다.

  1. “Mac 비밀번호 입력창” 멈춤 의사결정 트리: 비밀번호 입력, 권한 요청, 설치 확인이 나왔을 때 먼저 취소할지 판단한다.
  2. 취소한 뒤 3분 확인 절차: 입력창을 기록하고, 공식 출처로 돌아가며, 기능과 권한을 대조한다.
  3. 확인 후 분류표: 결과를 계속, 다시 내려받기, 중단, 도움 요청으로 나눈다.

가족의 도구 설치를 자주 도와주거나, 회사 Mac에서 개발 도구를 시험해 보거나, 검색 결과에서 작은 유틸리티를 내려받는 습관이 있다면 이 절차는 특정 악성코드 이름을 기억하는 것보다 더 유용하다.

비밀번호 입력창 자체가 나쁜 것은 아니다. 문제는 왜 떴는지 모르는 것이다

macOS의 관리자 비밀번호는 “이 동작이 시스템 수준 설정을 건드리도록 허용하는 열쇠”라고 이해하면 된다. 설치, 제거, 권한 변경, 시스템 서비스 생성, 보호된 데이터 읽기 같은 상황에서 쓰일 수 있다.

따라서 핵심은 “비밀번호 창이 보이면 무조건 사기”가 아니다. 정말 물어봐야 할 것은 이것이다. 이 안내가 방금 내가 한 동작과 명확하고, 합리적이며, 추적 가능한 관계가 있는가?

예를 들어:

  • 공식 웹사이트에서 내려받은 드라이버를 설치하는 중 관리자 비밀번호를 요구한다면 합리적일 수 있다.
  • 단순히 클립보드 도구를 열었을 뿐인데 곧바로 로그인 비밀번호를 요구하고, 무엇을 바꾸려는지 설명하지 않는다면 멈춰야 한다.
  • 검색 광고나 낯선 다운로드 사이트에서 받은 앱이 비밀번호를 요구한다면, 첫 단계는 입력이 아니라 출처를 되짚어 보는 것이다.

이는 AI가 지인 목소리를 흉내 내는 전화를 처리하는 방식과 비슷하다. 핵심은 목소리가 얼마나 비슷한지가 아니라, 먼저 다른 채널로 확인하는 것이다. 이전 글인 《아는 사람의 전화도 가짜 목소리일 수 있다: AI 사칭 전화를 처리하는 3단계》를 참고해 “전화”를 “비밀번호 입력창”으로 바꿔 보면, 뒤에 있는 멈춤 논리는 사실 같다.

광고

3분 멈춤 의사결정 트리

Mac 비밀번호 입력창을 만났을 때, 먼저 “내가 이 앱을 아는가”부터 판단하지 말자. 처음 30초 동안 아래 다섯 질문을 본다. 하나라도 답이 분명하지 않다면 먼저 취소하고, 다음 절의 3분 확인으로 넘어간다.

  1. 이 안내는 방금 내가 직접 유발한 것인가?

    • 설치, 업데이트, 권한 켜기, 설정 변경을 누른 적이 없는데 갑자기 비밀번호를 요구한다면: 먼저 취소를 누른다.
    • 방금 실제로 설치나 기능 활성화를 눌렀다면: 다음 질문으로 간다.
  2. 안내 문구가 무엇을 바꾸려는지 분명히 말하는가?

    • “계속하려면 비밀번호가 필요합니다”, “시스템 비밀번호를 입력하세요”처럼 용도를 설명하지 않는다면: 먼저 취소를 누른다.
    • 보조 도구 설치, 시스템 설정 변경, 손쉬운 사용 권한 활성화처럼 명확히 설명한다면: 다음 질문으로 간다.
  3. 이 권한은 앱 기능과 직접 관련이 있는가?

    • 클립보드, 스크린샷, 입력기, 창 관리 도구는 손쉬운 사용 또는 화면 기록 권한이 필요할 수 있지만, 반드시 로그인 비밀번호가 필요한 것은 아니다.
    • 압축 도구, 메모 도구, 일반 메뉴 막대 도구가 실행 직후 관리자 비밀번호를 요구한다면 특히 조심해야 한다.
  4. 앱 출처를 공식 경로까지 되짚을 수 있는가?

    • 검색 결과 첫 광고, 낯선 다운로드 사이트, 짧은 URL, 포럼 첨부파일에서 내려받았다면: 멈추고 공식 GitHub, 공식 웹사이트 또는 App Store에서 다시 받는다.
    • 출처를 추적할 수 있다면 개발자 이름, 파일명, 버전이 공식 페이지와 일치하는지 다시 확인한다.
  5. 비밀번호를 입력하지 않고 먼저 계속할 수 있는가?

    • 앱이 건너뛰기, 나중에 설정, 기본 기능만 사용을 허용한다면: 먼저 건너뛴다.
    • 모든 동작을 비밀번호 입력 앞에서 막아 두고 합리적인 설명이 없다면: 비밀번호를 넘기지 않는다.

이 트리의 목적은 당신을 악성코드 분석가로 만드는 것이 아니다. 먼저 정할 것은 취소할지 여부다. 취소는 끝이 아니라, 기록하고 출처로 돌아가고 권한을 대조할 3분을 확보하는 행동이다.

취소한 뒤: 세 단계로 확인하기

이 절은 의사결정 트리 바로 뒤에 이어지며, “취소한 뒤 3분 동안 무엇을 할 것인가”를 다룬다. 목표는 그 자리에서 앱을 좋다거나 나쁘다고 단정하는 것이 아니다. 다음 표에서 분류할 수 있을 만큼 근거를 모으는 것이다.

1분 차: 먼저 취소하고, 서둘러 입력하지 않는다

비밀번호 창이 보이면 먼저 “취소”를 누른다. 그 때문에 앱이 닫히거나 기능을 쓸 수 없어도 잘못한 것이 아니다. 보안 관점에서 취소는 비용이 가장 낮은 dry-run이다. dry-run은 “먼저 시험 실행하되 실제로 데이터를 바꾸거나 배포하지 않는 것”이라고 이해하면 된다.

취소한 뒤 세 가지를 적어 둔다.

  • 앱 이름과 아이콘.
  • 방금 누른 버튼.
  • 비밀번호 창의 전체 문구.

가능하다면 스크린샷을 저장한다. 스크린샷은 나중에 신고하려고만 쓰는 것이 아니다. 몇 분 뒤 “왠지 정상 같았다”는 기억만 남는 일을 막기 위한 것이다.

2분 차: 파일 자체만 보지 말고 출처로 돌아간다

그다음 묻는다. 이 앱은 어디에서 왔는가?

보통 더 안전한 순서는 다음과 같다.

  1. App Store.
  2. 공식 웹사이트.
  3. 공식 GitHub release.
  4. 개발자 문서의 직접 링크.

위험도가 높은 출처는 다음과 같다.

  • 검색 결과 상단의 광고 링크.
  • 다운로드 사이트, 크랙 사이트, 미러 사이트.
  • 소셜 게시물의 짧은 URL.
  • 친구가 전달했지만 원래 출처를 설명하지 못하는 설치 파일.

공식 출처를 찾을 수 없다면 “이미 내려받았으니까”를 계속 진행할 이유로 삼지 말자. 기존 파일을 삭제하고 공식 경로에서 다시 받는 것이 대개 사후 정리보다 시간을 덜 쓴다.

여기에는 다른 권한 점검 글의 생각도 적용할 수 있다. AI나 자동화 도구가 당신을 대신해 무언가를 할 때는, 실제로 손을 대는 단계가 어디인지 먼저 찾아야 한다. 더 읽어 볼 글: 《AI가 단축어를 만들어 줄 때, 실제로 실행되는 단계부터 찾아라》. Mac 앱에서는 “실제로 손을 대는 단계”가 관리자 비밀번호 요구, 시스템 설정 변경, 고위험 권한 획득인 경우가 많다.

3분 차: “기능—권한”을 맞춰 본다. 좋고 나쁨을 찍지 않는다

마지막으로 앱 기능과 요구 권한을 대응시켜 본다.

이렇게 물어볼 수 있다.

  • 이 앱의 핵심 기능은 무엇인가?
  • 요구하는 비밀번호나 권한이 그 핵심 기능을 수행하는 데 꼭 필요한가?
  • 이 권한을 주지 않아도 기본 기능을 제공할 수 있는가?
  • 공식 문서가 이 권한을 명확히 설명하는가?

예를 들어 창 관리 도구가 손쉬운 사용 권한을 요구하는 것은 합리적인 방향이다. 화면 녹화 도구가 화면 기록 권한을 요구하는 것도 이해하기 쉽다. 하지만 단순한 클립보드 도구가 처음부터 로그인 비밀번호를 요구하고 용도를 분명히 설명하지 않는다면, 곧바로 악성코드라고 단정할 필요는 없다. 우선 주지 않으면 된다.

한 장의 표로 판단하기: 계속, 다시 내려받기, 중단, 도움 요청

위의 3분 확인을 마친 뒤 이 표로 결과를 분류한다. 이 표는 첫 단계가 아니다. 출처, 입력창 문구, 요청 권한을 확인한 뒤 다음 행동을 정하는 수렴 도구다.

보이는 상황먼저 할 행동과 계속해도 되는 조건멈춰야 할 신호
앱을 막 내려받았고, 처음 실행하자 Mac 비밀번호를 요구함먼저 취소를 누르고 다운로드 출처를 다시 확인한다. 공식 웹사이트, 공식 GitHub, App Store 출처이고 파일명·개발자 이름·버전이 공식 페이지와 일치할 때만 계속할 수 있다출처가 검색 광고, 미러 사이트, 짧은 URL이거나 공식 페이지에서 같은 버전을 찾을 수 없음
앱이 보조 도구 또는 helper 설치를 요구함문서를 확인해 helper가 무엇을 담당하는지 본다. 자동 업데이트, 백그라운드 동기화, 시스템 통합 용도라고 문서가 명확히 설명하고 이름이 앱과 일치해야만 계속한다helper 이름이 낯설거나 설명이 모호하며 “전체 기능 활성화”라고만 적혀 있음
앱이 손쉬운 사용, 화면 기록 또는 자동화 권한을 요구함“시스템 설정”에서 권한 항목을 직접 확인한다. 창 관리는 손쉬운 사용, 녹화 도구는 화면 기록처럼 기능과 직접 관련된 경우에만 계속할 수 있다클립보드, 메모, 변환 도구인데 동시에 여러 고위험 권한을 요구함
비밀번호 창 문구가 짧고 용도를 설명하지 않음취소하고 안내 문구를 스크린샷으로 저장한다. 공식 문서에서 같은 안내 또는 같은 설정 절차를 확인할 수 있을 때만 계속한다“즉시 입력”, “입력하지 않으면 사용할 수 없음”처럼 재촉하지만 확인 가능한 문서가 없음
회사 또는 고객 프로젝트용 Mac에 안내가 나타남입력하지 말고 IT 또는 프로젝트 owner에게 묻는다. owner가 이 도구, 버전, 설치 이유를 설명할 수 있을 때만 계속한다누가 설치를 요구했는지, 왜 오늘 필요한지, 테스트된 적이 있는지 아무도 설명하지 못함

owner는 “마지막 판단과 마무리를 책임지는 사람”이라고 이해하면 된다. 개인 상황에서는 owner가 당신일 수 있고, 회사 상황에서는 보통 IT, 보안 담당 창구, 프로젝트 책임자다.

표에는 “진짜처럼 보인다”라는 항목이 없다. 아이콘, 웹사이트 구성, 앱 이름은 모두 흉내 낼 수 있기 때문이다. 실제로 확인할 수 있는 것은 출처, 용도, 권한, 책임자다.

작은 팀은 어떻게 적용할 수 있을까

회사, 스튜디오, 가정에서 다른 사람의 컴퓨터를 자주 봐 준다면 “다들 조심하세요”만으로는 부족하다. 규칙을 아주 짧은 내부 절차로 써 두는 편이 낫다.

권장 절차

  1. 새 도구가 Mac 비밀번호를 요구하면 먼저 취소한다.
  2. 사용자가 앱 이름, 다운로드 URL, 안내 스크린샷을 지정 채널에 올린다.
  3. 담당자가 출처가 공식 경로인지 확인하고, 권한이 기능과 맞는지 검토한다.
  4. 회사 장비라면 IT 또는 지정 owner만 설치를 승인할 수 있다.
  5. 확인할 수 없으면 대체 도구를 찾거나 사용을 보류한다.

이 절차의 핵심은 “비밀번호 입력을 개인의 반사 행동에서 확인 가능한 인계 단계로 바꾸는 것”이다. workflow는 고정된 인계 단계들의 연속이다. 여기서 workflow는 복잡한 시스템이 필요하지 않다. 모두가 아는 멈춤 지점 하나면 충분하다.

그대로 복사해 쓸 수 있는 팀 안내문

어떤 Mac 앱이든 로그인 비밀번호 입력을 요구하면 먼저 취소하세요. 앱 이름, 다운로드 URL, 안내 스크린샷을 지정 채널에 올리세요. 출처가 공식 웹사이트, App Store 또는 공식 GitHub로 추적 가능하고 권한 용도를 설명할 수 있을 때만 비밀번호를 입력하세요.

이 안내는 “수상한 소프트웨어를 내려받지 마세요”보다 실행 가능하다. 사용자가 바로 그 순간 무엇을 해야 하는지 알려주기 때문이다.

흔한 오판: 이 세 문장이 사람을 쉽게 안심시킨다

“Mac이니까 더 안전하겠지”

macOS의 보안 설계는 프로그램이 마음대로 실행되게 두는 것보다 훨씬 낫다. 하지만 어떤 시스템도 사용자가 자발적으로 비밀번호를 입력하는 상황까지 막을 수는 없다. 공격 흐름이 익숙한 안내창을 시나리오의 일부로 만들면, 플랫폼 자체가 마지막 판단을 대신해 주지는 못한다.

“그냥 작은 도구 하나 설치하는 건데”

작은 도구는 오히려 쉽게 통과된다. 대단히 꼼꼼히 검사할 대상처럼 보이지 않기 때문이다. 클립보드, 메뉴 막대, 스크린샷, 변환, 입력기, 개발 보조 도구는 모두 자주 쓰는 작은 도구다. 이들이 비밀번호나 높은 권한을 요구한다면 한 번 더 볼 가치가 있다.

“웹사이트가 공식처럼 보이는데”

웹사이트가 비슷해 보이는지는 약한 신호일 뿐이다. 더 믿을 만한 것은 도메인, 공식 문서 링크, 개발자 계정, release 페이지, 커뮤니티 공지가 서로 맞아떨어지는지다. 예쁜 다운로드 페이지만 있고 추적 가능한 단서가 없다면, 비밀번호를 넘기지 말자.

개인 사용자를 위한 최소 시작 행동

오늘 Mac 전체를 정리할 필요도 없고, 모든 보안 용어를 한 번에 배울 필요도 없다. 한 가지만 하자.

아래 문장을 메모 앱에 적어 두거나 가족 채팅방에 붙여 넣자.

Mac에서 비밀번호 입력을 요구하면 먼저 취소한다. 출처, 용도, 권한 세 가지를 확인한 뒤 계속할지 결정한다.

한 걸음 더 할 수 있다면 “신뢰할 수 있는 다운로드 출처” 북마크 폴더를 만들자. 자주 쓰는 도구의 공식 웹사이트, 공식 GitHub, App Store 페이지를 넣어 둔다. 다음에 다시 설치할 때 검색 결과에서 새로 찾지 말고, 북마크에서 바로 들어가자.

AI 정리 카드

다음에 의심스러운 Mac 비밀번호 입력창을 만나면 아래 내용을 AI에게 주고 위험을 정리해 달라고 할 수 있다. 다만 최종적으로 비밀번호를 입력할지는 여전히 당신 또는 팀 owner가 판단해야 한다.

이 Mac App의 비밀번호 또는 권한 요청이 합리적인지 점검해 주세요. 저 대신 “반드시 안전하다”는 결론을 내리지 말고, 위험 단서와 다음 행동만 정리해 주세요.

App 이름:
다운로드 출처 URL:
이 다운로드 페이지에 어떻게 들어갔는지:
안내 문구 전체 내용:
어떤 동작을 한 직후 안내가 떴는지:
App이 주장하는 주요 기능:
요구하는 비밀번호 또는 권한:
내가 찾은 공식 웹사이트 또는 공식 GitHub:

아래 형식으로 답해 주세요:
1. 이 요청은 App 기능과 직접 관련이 있나요?
2. 출처를 공식 경로까지 추적할 수 있나요? 의심스러운 점은 무엇인가요?
3. 지금 계속해야 하나요, 취소 후 다시 내려받아야 하나요, owner에게 물어봐야 하나요, 아니면 사용을 보류해야 하나요?
4. IT나 동료에게 물어봐야 한다면, 5문장 이내 설명문을 정리해 주세요.

이 카드의 목적은 AI에게 안전을 보증하게 하는 것이 아니다. “뭔가 이상하다”는 느낌을 출처, 안내 문구, 권한, 다음 단계처럼 논의 가능한 단서로 바꾸는 것이다.

생활 4컷 만화

텍스트 없는 4컷 만화. 작업 맥락에서 의심스러운 비밀번호 요청을 보고 기록·확인·판단으로 이어가는 흐름

  1. 동료에게서 받은 링크로 도구를 내려받았고 시작하자마자 비밀번호 요청이 떠서, 먼저 입력 동작을 멈춘다.
  2. 비밀번호 창, 클릭한 버튼, 다운받은 위치를 짧게 적고 스크린샷으로 남긴다.
  3. 공식 페이지에서 개발자, 파일명, 버전을 다시 확인해 권한 요구가 실제 기능과 맞는지 검증한다.
  4. owner 확인 후에만 사용 계속, 공식 경로 재다운로드, 혹은 사용 보류 중 하나로 처리한다.
광고

Share

이 미니 클래스 공유

이 글이 업무 병목을 푸는 데 도움이 되었다면, AI를 어떻게 쓸지 고민하는 사람에게도 공유해 주세요.

참고 자료

Jamf Threat Labs: PamStealer: macOS Malware Posing as Clipboard Manager App — https://www.jamf.com/blog/pamstealer-macos-infostealer-applescript-rust/ (2026-07-02)

Ars Technica: Newly discovered PamStealer isn’t your typical macOS malware — https://arstechnica.com/security/2026/07/new-pamstealer-macos-malware-uses-clever-tradecraft-to-remain-stealthy/ (2026-07-03)

The Hacker News: PamStealer Uses Fake Maccy Sites and PAM Checks to Steal Mac Login Passwords — https://thehackernews.com/2026/07/pamstealer-uses-fake-maccy-sites-and.html (2026-07-03)