최근 맥(Mac) 이용자들을 노리는 맬웨어들이 보고 되고 있는 가운데 가장 최근에 발견된 맥 맬웨어가 맥 컴퓨터로 이루어진 봇넷 구축을 시도하는 것으로 알려져 큰 관심을 끌고 있다.

영국 안티 바이러스 및 안티 스팸 업체 소포스(Sophos)는 최근 맥 이용자들을 노리고 있는 새로운 맬웨어를 탐지했다고 전했으나 이 웜은 맥 컴퓨터를 위협하는 여타의 맬웨어에 비해서는 대수롭지 않다고 설명했다.

맥(Mac) 운영체계 OS X를 노리는 이 웜의 정식 명칭은 “OSX/Tored-A” 웜으로, 일반적으로 “Tored”라고 불리며 이메일을 통해 전파되는 이메일 인식 웜(e-mail-aware worm)이다. 이 웜은 감염된 컴퓨터에서 데이터를 탈취하고 봇넷 구축을 시도하는 것으로 알려져 있다.

사실 “Tored” 맬웨어는 감염된 시스템에 백도어를 설치해 감염된 맥 컴퓨터에서 이메일 주소를 탈취하는 웜으로, 이 웜의 리얼베이직 소스코드(RealBasic source code)에 따르면 이 웜의 목표는 “최초의 맥 OS X 봇넷”을 생성하는 것으로 알려져 있다. 또한 이 맬웨어는 이메일 주소를 탈취하는 한편 키스트로크(keystroke : 키 입력)를 기록하고 이동성 디스크에 자가 복제를 시도한다.

소포스의 설명에 따르면 이 웜은 비활성화 상태의 SMTP 서버를 이용해 이메일을 통해 스스로를 전달하려고 한다. 또한 이 웜이 지시를 받기 위해 접촉하는 C&C 서버(command and control server)는 존재하지 않는다. 특히, 웹사이트나 P2P 네트워크를 이용하는 맥 트로잔과 대조적으로 이 웜은 “이메일 인지” 맬웨어로 제한적인 기존의 맥 맬웨어와는 다르다고 소포스는 설명했다.

그러나 소포스(Sophos)는 다행스럽게도 이 새로운 맬웨어에 빈틈이 전혀 없는 것은 아니라고 전했다. 즉, 이 웜의 코드에 있는 버그들이 이 웜의 확산을 어렵게 할 것이라는 것이 소포스의 주장이다.

특히 소포스의 그래험 클루리(Graham Cluley) 선임 기술 컨설턴트는 맥 이용자들에게 이 웜보다 더 큰 위협이 되는 것은 웹사이트에 심어진 채 다운로드를 유도하는 트로잔이라고 말했다. 실제로 맬웨어 작성자들은 지난 1월 iWork ‘09 해적판과 어도비 포토샵 CS4 맥 버전을 통해 트로잔을 유통시킨 바 있다.

또한 가장 최근에는 웜 전파를 촉진하기 위해 ‘맥 OS X 사용자를 위한 메일...맥 사용자가 아니라면 이 메일을 맥으로 전달해주세요’라는 의미의 “For Mac OS X ! :(If you are not on Mac please transfer this mail to a Mac and sorry for our fault :)”라는 메시지를 표시하기도 했다.

한편 지난달 시만텍의 보안 연구자들은 약 5,000개의 컴퓨터로 예상되는 감염된 사용자들의 네트워크가 최초의 맥 봇넷을 구성했다고 언급한 바 있다.

[김동빈 기자(foreign@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>