이메일 첨부 파일 무턱대고 열었다간 ‘큰 일’

시만텍이 2010년 8월 한 달 간 전세계 스팸 및 피싱 동향을 조사 분석한 ‘시만텍 월간 스팸 및 피싱 현황 보고서’ 9월호에 따르면 전체 메일 중 스팸이 차지하는 비중이 92.51%에 달했으며, 특히 악성 코드를 퍼뜨리는 스팸 메일은 3배 이상, .zip 파일이 첨부된 스팸 메일은 전월 대비 4배 이상 급증한 것으로 나타났다. 악성 자바스크립트가 포함된 .html 파일이 첨부된 스팸 메일 또한 크게 증가했다.

시만텍이 지난 몇 달간 주 단위로 분석한 스팸 메시지 동향을 보면 .zip 첨부 스팸 메일이 크게 증가했음을 확인할 수 있다. 특히 8월에는 스팸 메일에 첨부된 파일의 대부분이 .zip 파일인 것으로 나타났다. .zip 첨부 스팸 메일은 ▲Trojan.Zbot 변종 ▲Trojan.Sasfis 변종 ▲‘웨비 필 메시지(Wavy pill message)’등 크게 세 가지 카테고리로 나뉜다.

우선 Trojan.Zbot은 주로 감염된 컴퓨터로부터 시스템 정보, 온라인 로그인 정보 또는 은행거래 정보 등의 기밀 정보를 빼내기 위해 사용되며, 악성코드 제작용 툴킷을 사용해 공격자가 원하는 어떠한 유형의 정보도 빼돌릴 수 있도록 수정이 가능하다. Trojan.Zbot은 주로 스팸 공격이나 사용자 몰래 악성 코드를 PC에 설치하는 ‘드라이브바이다운로드(Drive-by-download)’ 공격을 통해 감염된다.

일례로 이메일에 포함된 첨부파일은 아무 문제없는 적법한 압축파일처럼 보이지만 실제로는 사용자가 해당 파일을 열어볼 경우 Trojan.Zbot에 감염되게 된다. 스팸 공격자들은 사용자들을 속이기 위해 일반인들이 많은 관심을 갖는 유명인사의 근황이나 거짓 사건사고 소식을 통해 컴퓨터 사용자들의 호기심을 자극, 첨부파일을 열어 보도록 만든다.

트로이목마 바이러스인 Trojan.Sasfis는 다른 악성 콘텐트를 사용자의 컴퓨터로 다운로드해 실행시킨다. 특히 8월에 스팸 공격자들은 다양한 선적 및 물품발송 서비스를 사칭해 사용자들을 속인 것으로 나타났다.

웨비 필 메시지란 이미지를 그대로 첨부하는 대신 .zip 압축파일 형태로 첨부해 전송하는 공격방법으로, 이 같은 .zip 첨부 스팸 대다수는 Trojan.Sasfis나 Trojan.Zbot 등의 트로이목마를 포함하고 있는 것으로 확인됐다.

악성 자바스크립트가 포함된 .html 첨부 스팸의 경우에는 다음과 같은 악의적인 활동을 하는 것으로 분석됐다.
▲브라우저 및 플러그인의 취약점을 이용해 임의의 코드 실행
▲가짜 안티바이러스 검사 및 기타 사기성 정보 표시
▲자바스크립트, HTML 등의 파일 다운로드
▲브라우징 세션 탈취
▲악성 웹사이트로 사용자 리디렉션
▲개인정보 및 기밀정보 탈취

한편, 시만텍은 컴퓨터 사용자의 안전을 위해 스팸 메시지로 인한 피해를 예방하는 8가지 예방수칙을 발표했다.

1. 수신을 원하지 않는 메일은 수신 거부 신청을 한다.
2. 인터넷에 개인 이메일 주소를 공개하지 않는다.
3. 이메일 정보를 요구하는 웹사이트는 먼저 신뢰할 만한 곳인지 체크한다.
4. 의심가는 이메일이나 인터넷 메신저 상의 링크는 직접 클릭하지 않는다.
5. 업데이트를 통해 운영체제를 항상 최신 상태로 유지한다.
6. 개인정보나 금융관련 정보, 또는 비밀번호를 묻는 이메일에 응하지 않는다.
7. 스팸 메일을 통해서 제품이나 서비스를 구매하지 않는다.
8. 모든 스팸 메일은 삭제한다.

BIkorea 다른기사 보기