직장인 A씨는 평소처럼 메일을 체크하다가 즐겨 찾는 G마켓에서 온 ‘배송확인’ 메일을 열었다.
하지만 A씨는 최근 G마켓에서 상품을 주문한 기억이 없었다. 누가 선물한 것인가 주문하고서 깜빡 잊은 것인가 확인하기 위해 상품이 배송중이니 배송추적을 확인하라는 문구를 클릭했다가 악성코드에 감염돼 낭패를 봤다. G마켓에서 보낸 메일이 아니라 악성코드를 배포하기 위한 스팸메일이었기 때문이다.
최근 전자메일을 이용한 스팸, 피싱 등의 보안 위협이 한 가지가 아닌 다양한 공격기법을 사용하고 있어 예전 사이버 안전 대응 수칙만으로는 막아내기 어렵다는 지적이다.
과거에는 스팸 메일에 악성코드가 첨부파일로 전달되는 형태였기 때문에 함부로 첨부파일을 클릭하지 않으면 감염되지 않았다. 하지만 최근에는 메일 본문에 직접 악성코드를 삽입시키고 피싱 메일과 결합하는 등 복합적인 형태로 변화, 스팸메일이 지능화되고 있다.
악성코드에 감염되면 자기복제만을 되풀이하던 과거 악성스팸메일과 달리 감염 즉시 특정 사이트를 분산서비스거부(DDoS) 공격하는 기능도 첨가돼 있어 좀비 PC가 될 확률도 높다.
또, 다양한 사회공학적(Socoal Engineering)인 방법을 결합해 관심을 가질 만한 메일 제목들로 사용자들을 현혹시키고 있다. 현대인이라면 누구나 받아볼만한 카드명세서를 위장한 형태, 쇼핑몰 배송확인 메일 혹은 월드컵이나 발렌타인데이같은 특별한 이벤트를 가장한 메일 등 여러 가지 사용자들의 심리를 자극하는 메일들로 감염을 유도한다.
전문가들은 이메일에서 보여지는 자바스크립트(JAVA Script) 형태의 HTML 파일이 정상 메일과의 구별을 더욱 어렵게 하고 있어 자바스크립트 악성코드 메일에 골머리를 썩고 있다는 설명이다.
예를 들어 ‘시만텍 안티바이러스 프로그램을 무료로 드립니다’와 같은 제목으로 메일이 오고 첨부파일이나 메일 본문에 ‘Delivery Status Nortification(Faulure).html`와 같은 HTML 형태가 삽입돼 있으면 악성코드인지 실제 백신프로그램을 다운받을 수 있는 URL인지 판단하기 어렵다.
이런 스크립트 악성코드가 웹 브라우저를 통해 정상적으로 실행될 경우 악성코드 제작자가 의도한 광고 웹 사이트를 보여주거나 또 다른 악성코드를 다운로드해 감염시키는 등 피해를 입기 쉽다.
올초에는 전자메일 본문에 제공된 웹 사이트 링크를 클릭하면 웹 사이트 링크를 통해 페이스북 등 SNS 피싱 웹 사이트로 접속을 유도하는 사례도 발견됐다. 전자메일 수신인이 클릭한 웹 사이트가 개인정보유출을 목적으로 제작된 피싱 웹 사이트여서 PC에 저장된 이메일, 전화번호 등 개인정보가 모조리 유출됐다.
물론 복합적인 성격의 악성코드를 포함한 메일이라고 해서 별다른 치료방법이 있는 것은 아니다. 통합적인 보안 위협을 모두 막아줄 수 있는 최신 안티바이러스 프로그램을 사용하고 늘 업데이트를 최신으로 유지해야한다.
안철수연구소 장영준 선임연구원은 “지난해까지만 해도 악성코드 메일은 거의 대부분 영어였지만 올초부터 한글 및 국내 사용자들 이메일 사용 패턴을 그대로 본딴 형태의 악의적인 메일들이 넘쳐나고 있다”며 “기존에 알려져 있는 보안위협들의 영역과 결합해 복합적이고 지능적으로 변화되어가고 있는 메일의 위협으로부터 벗어나기 위해서는 새로운 보안위협에 대한 정보를 빠르게 취득하고 항상 주의를 기울여야한다”고 지적했다.
장윤정기자 linda@etnews.co.kr
