봇 프로그램이 피해자 컴퓨터의 화면 스크린 샷마저 먹이로 삼는다는 주장이 제기돼 놀라움을 주고 있다.

지난주 시큐어웍스의 연구자들은 자사 리서치 블로그를 통해 Ozdok으로 알려진 봇 프로그램에 대한 연구 결과를 발표했다. 특히 이들은 스팸하우스의 도움으로 또 다른 Ozdok/Mega-D 커맨드&컨트롤 서버에서 수집된 파일에 접근할 수 있었다며 이른바 “메가-D(Mega-D)”라고 불리는 Ozdok 트로잔 봇넷이 2009년의 가장 심각한 봇넷 중 하나라고 주장했다.

이들의 설명에 따르면 일반적으로 악성 프로그램은 피해자들이 컴퓨터로 어떤 일을 하는지 모니터하는 수준이지만 Ozdok 봇 트로잔은 피해자 컴퓨터 화면의 스크린 샷을 저장해 인터넷 서버로 보낸다는 것이다. 이들은 특히 이 변종이 피해자의 컴퓨터에서 스크린 샷을 천여 개 이상 수집해 컨트롤 서버에 저장하고 있었다는 것을 확인했다며 놀라움을 감추지 않았다.

이들 스크린샷은 이메일을 확인하거나 소셜 네트워킹 페이지 체크, 또는 동영상을 보거나 심지어 포르노 사이트를 돌아다니는 내용 등으로, 대부분 사용자들이 컴퓨터에서 일상적으로 수행하고 있는 일들을 보여주고 있다. 그러나 보다 심각한 문제는 상당수의 안티 스파이웨어 툴 또는 맬웨어 분석을 위한 리버스 엔지니어링 고급 툴 등이 구동되는 내용까지 포함되어있어 이러한 툴이 전혀 도움이 되지 않을 수도 있다는 점이다.

▲ Ozdok 봇에 의한 스크린 샷 (출처 : www.secureworks.com/research/blog)

시큐어웍스 연구원 조 스튜어트(Joe Stewart)는 블로그를 통해 봇넷 스패머들이 데스크탑의 스크린샷에 관심을 갖는 이유에 관해 “어떤 IP 주소를 봇넷으로 만들지 결정하기 위해 스크린샷을 이용할 수도 있다”고 언급했다. 또한 그는 컨트롤 서버에 연결되는 Ozdok 샘플에 사용되는 고급 자동 분석 툴을 보여주고 있는 이미지들도 제시했다.

외신 보도에 따르면 이전에도 이와 같은 컨트롤러 코드는 존재했었고 특히 스크린 샷을 캡처하는 백도어 트로잔에 대해서도 알려져 있지만 스팸 봇에서의 이러한 기능이 확인된 것은 처음 있는 일이다. 즉, 트로이 목마 프로그램이 종종 피해자 화면의 스냅샷을 만드는 경우는 있었으나 스팸 활동에 중점을 두고 있는 봇 프로그램이 이러한 행위를 하는 것은 처음 있는 일이라는 것이다.

한편 메시지랩이 최근 발표한 자료에도 Ozdok이 현재 최대 스팸 봇인 것으로 나타났다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>