보안

봇 감염된 맥 60만 대 발견···닥터웹 주장에 "반신반의"

Daniel Ionescu | PCWorld 2012.04.06
지난 해 보안 애널리스트들에 의해 발견된 맥 트로이 목마 프로그램이 무려 60만 대의 애플 컴퓨터를 감염시켰다고 러시아의 안티바이러스 업체 닥터웹(DR.Web)이 밝혔다. 애플은 이번 주 들어 해커들이 BackDoor.Flashback.39 trojan을 본격적으로 확산시키지 시작하자 취약점 패치를 내놓았으며, 대부분의 감염된 맥은 미국과 캐나다에 있는 것으로 알려졌다.
 
전체 중 56%의 감염된 맥 컴퓨터는 미국에 있고, 캐나다에 20%, 그리고 영국에 13%가 있으며, 일본과 호주, 그리고 다른 유럽국가의 비율은 1% 이하인 것으로 나타났다.
 
닥터웹은 “시스템은 감염된 자원이나 트래픽 분산 시스템에 이해 가짜 사이트로 재연결되면서 감염되고 있다”며, “악성 코드를 담은 자바 애플릿을 로드하는데 자바스크립트 코드가 사용되고 있다. 닥터웹의 바이러스 애널리스트가 이 코드가 있는 많은 수의 웹 사이트를 발견했다”고 밝혔다.
 
감염된 웹사이트 목록의 대부분은 도메인이 .nu로 태평양 중남부의 섬나라 니우에(Niue)의 것이다. 
 
지난 2월부터 해커는 악성 프로그램 배포를 위해  취약점을 악용하기 시작한 것으로 나타났으며, 3월 16일에는 다른 파헤치기 시작했으며, 3월 16일 이후에는 다른 코드를 사용하기 시작했다. 애플은 이 취약점을 4월 3일에 없앴으며, 감염되지 않은 사용자들은 운영체제를 업데이트할 것을 권고받았다.
 
닥터웹은 악성 코드는 실행 가능한 파일을 감염된 맥의 하드디스크에 저장하고, 이 파일이 원격지 서버에서 악성 프로그램을 다운로드해 실행시킨다고 설명했다. 닥터웹은 싱크홀 기술을 사용해 봇넷 트래픽을 자사의 서버로 유도해 감염된 호스트의 수를 계산했는데, 미국으로부터 30만 대 이상이 나왔고, 274곳은 애플 본사가 있는 쿠퍼티노였다.
 
F시큐어는 감염 여부를 확인할 수 있는 방법을 소개하며, 관리자 패스워드를 요청하는 프로그램이 있으면 주의할 것을 당부했다. F시큐어는 “실행 단계에서 악성 프로그램은 사용자에게 관리자 패스워드를 요구할 것이다, 패스워드 입력 여부와 관계없이 악성 프로그램은 시스템 감염을 시도하게 되는데, 패스워드는 감염이 어떻게 진행되는지에 영향을 미칠 뿐이다”라고 설명했다.
 
정보보안 컨설턴트인 아드리안 사나브리아는 자신의 블로그를 통해 닥터웹의 발표에 의문을 제기했다. 사나브리아는 “지금 플래시백의 피해 수치를 밝힌 다른 보고서를 본 적이 없다. 만약 이번 보고서가 정확하다면, 그런 대규모 맥 감염은 OS X가 바이러스로부터 안전하다는 기존의 인식을 바꿔야 할지도 모른다”며, “하지만 닥터웹이 안티바이러스 업체라는 것을 감안하면, 이번 보고서에 흥분하기 전에 확인하는 작업이 필요하다”고 밝혔다. F시큐어의 미코 히포넨은 닥터웹의 보고에 대해 트위터를 통해 “이 수치를 긍정도 부정도 할 수 없다”고 말했다.  editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.