러시아의 보안 기업 Doctor Web의 조사 자료에 의하면, 전세계에 분포된 애플의 맥(Mac) 17000대 이상이 맬웨어에 감염되어 봇넷을 형성하고 있는 것으로 확인되고 있다.
※ 봇넷(botnet) : 해커나 공격에 의해 피해를 입은 다수의 컴퓨터가 네트워크로 연결, 외부에서 제어할 수 있는 좀비 컴퓨터 네트워크
Mac을 타겟으로한 iWorm이 현시점에서 어떠한 공격이나 움직임을 보이는지는 확인되지 않지만 감염된 Mac이 각종 정보 수집과 원격 명령을 실행할 능력을 갖고 있는 것이 확인됐고, 영어권에서 인기 게시판인 reddit을 통해 명령을 받는 것도 확인되고 있다.
지역별로 감염 대수가 가장 많은 곳은 미국으로 4610건(26.1%), 이어 캐나다가 1235건(7.0%), 영국 1227건(6.9%)등으로 상위 11개국에서 총 11839건에 달해 67%를 차지하고 있다. 한국에서의 감염 건수는 밝혀지지 않았으나 나머지 33% 중에 포함되어 있을 가능성이 높고, 밝혀진 건수는 9월 26일 시점의 조사이기 때문에 현재는 감염이 더 확산됐을 가능성이 높다.
문제의 iWorm 맬웨어는 적어도 4종류의 변종이 존재하는 것으로 보이지만 감염원은 아직 확인되지 않고 있다. iWorm의 특징은 명령을 받는 그 방법으로 통상적인 봇넷은 컨트롤 서버에서 명령을 받기 때문에 관계 당국은 특정 서버의 압수 및 가동 중지 등으로 대응하지만 iWorm은 이를 회피하기 위해 reddit 게시판에서 최신 서버 목록을 취득함으로써 끊임없이 컨트롤 서버를 숨기는 형태로 동작하고 있다.
Doctor Web의 분석에 따르면 reddit의 검색 기능을 이용하여 현재 날짜 MD5 해시의 첫 8바이트의 16진수 값을 검색하여 최신 제어 서버의 IP 주소와 포트 번호 목록을 취득하는 형태라고 설명하고 있다. 현재는 이를 악용한 Minecraft 관련 서버 게시판은 정지되어 있는 상태다.
이는 reddit이 iWorm의 감염을 확산시키는 것은 아니며 단순히 감염시킨 Macbot 인터넷과 통신하기 위한 플랫폼으로서 사용하고 있는 것으로 향후 Twitter등 다른 서비스 역시 악용될 가능성이 있다.
자신이 사용중인 Mac이 iWorm에 감염되어 있는지의 여부는 비트디펜더 및 카스퍼스키와 같은 안티 바이러스 소프트웨어로 검사함으로써 확인할 수 있고, 그 외의 방법으로는 Mac의 Finder에서 폴더로 이동 메뉴에 /Library/Application Support/JavaW라고 입력하여 이 폴더가 존재하고 있으면 iWorm에 감염된 것으로 1차적인 확인이 가능하다.
일반적으로 Mac은 바이러스 대응 소프트웨어 등 보안 소프트웨어는 크게 필요가 없다고 생각하는 유저들이 많지만 "컴퓨터" 라는 하드웨어와 소프트웨어로 구성된 어떠한 시스템이라도 보안 위협에 특별한 면역이 있는 것은 아니기 때문에 바이러스나 악성코드 대응 소프트웨어는 필수적이며 최신 보안 업데이트 적용, 또 공격의 잦은 매개체가 되고 있는 Adobe Reader, Flash, Java 등에 대한 최신 업데이트는 상시적으로 시행할 필요성이 있다.
