F-Secure는 12월 3일 달라이라마와 관련된 웹사이트가 자바 익스플로잇을 통해 맥(Mac) 맬웨어에 감염됬다고 블로그에 게재했다. 몇몇 벤더사들에서 Dockster라고 불리는 Mac OSX 멀웨어는 Sophos의 안티바이러스제품에서 OSX/Bckdr-RNW로 감지되었다.
 
소포스는 “Exp/20124681-A, Mal/JavaGen-J, Exp/20120507-A,  Mal/JavaGen-G로 알려진 맬웨어의 다양한 구성요소들을 막아왔는데, 그중 Exp/2010020507은 올해 초 Hard-Hitting Flashback Attack으로 악용된 Mac에 대한 자바 익스플로잇과 같은 것이기 때문에 Mac과 관련한 정보보안뉴스를 구독하는 사람들은 잘 인지하고 있어야 한다”며 “좋은 소식은 모니터링 시스템이 처음으로 보안문제점을 감지한 10월 5일 이후로부터는 Sohpos의 제품이 실질적으로 해당 웹사이트에 방문하는 유저들을 보호하고 있다는 것”이라고 밝혔다.
 
OSX/Bckdr-RNW 맬웨어는 원격에서 해커들이 사용자 키를 로깅하고, 정보를 훔쳐갈 수 있도록 한다. 달라이라마와 관련된 해당 웹사이트는 망명 티베트 정부와 그 동조자들의 웹사이트로 추정되는데, 맬웨어는 해당 사이트에 접속하는 컴퓨터들을 감염시키도록 설계되어있다. 또한 달라이라마 웹사이트에 있는 익스플로잇은 윈도우즈 기반의 맬웨어인 Troj/Agent-ZCT를 다운로드 하기도 한다.
 
익스플로잇은 달라이라마와 그의 동조자들에 대한 직접적인 공격으로 보여지지만, 항상 있어왔던 공격이다. 예를 들어 바로 지난 달에는 티베트인 단체의 이미지와 함께 변종된 새로운 Mac lmuler 트로이목마 바이러스가 퍼지기도 했다.
 
<참고사이트>
-nakedsecurity.sophos.com/2012/12/03/dockster-mac-malware-dalai-lama/
 
About 서인혁 객원기자
한양대학교 ERICA 캠퍼스 컴퓨터공학과 소속. 코드게이트, 허스트 등 여러 해킹대회 참가. 교내 정보보안동아리 HYCube 회장. 지식경제부 차세대보안리더 양성프로그램 Best Of the Best 1기에서 2학기 과정 수료. 주요 관심사는 시스템해킹과 리버스엔지니어링. 리눅스 운영체제를 좋아함. 현재 해킹 보안 블로그(www.5a5in.com) 운영. 장래희망은 사이버수사대 등에서 시스템이나 악성코드 분석과 관련된 일을 하고 싶다.
 
[데일리시큐 서인혁 객원기자 sasin9191@hanyang.ac.kr]