잉카인터넷(대표 주영흠)은 지난 23일 악성코드를 담은 크리스마스 스팸 이메일이 국내에서 해외로 유포됨에 따라 인터넷 사용자들의 각별한 주의가 필요하다고 24일 밝혔다.
특히 이번에 발견한 악성코드 이메일은 정식 디지털 서명을 사용, 발신자의 신뢰성을 높인 점도 특징이다.
잉카인터넷 관계자는 “이번에 발견된 크리스마스 관련 악성코드 이메일은 ‘file.exe’라는 실제 사용 가능한 디지털 서명을 보유하고 있다”며 “이는 스턱스넷 악성파일 이후로 실제 디지털 서명을 악용한 사례로 추정된다”고 설명했다.
또 잉카인터넷 측은 “디지털 서명은 파일의 신뢰성을 판단하는 중요한 근거 자료이자 기준이지만 이처럼 악성 파일이 올바른 정식 인증서 서명으로 추정되는 내용을 도용해 마치 안전한 파일처럼 가장하고 있는 경우 각별히 주의해야 한다”고 말했다.
악성코드를 담은 이메일 내부에는 ‘크리스마스 메시지(Christmas Messages.pss)’라는 첨부파일이 등록돼 있으며, 취약점이 존재하는 pps 파일을 실행할 경우 ‘Greeting Cards.pps’란 정상적인 파워포인트(Power Point Slide Show) 파일과 file.exe 이름의 악성파일이 생성되고 실행된다.
무엇보다 IP분석 결과 이 이메일의 발신지 IP가 대한민국이라는 점이 특이하다(http://contagiodump.blogspot.com/2010/12/dec-21-cve-2010-2572-christmas.html)고 회사 측은 전했다.
크리스마스 카드(Greeting Cards.pps) 파일은 정상적인 파워포인트 파일로 악성코드를 담은 PPS(Christmas Messages.pss) 파일을 정상적인 파일처럼 교묘하게 위장하기 위한 수법 중에 하나다.
또한, 해당 악성파일에 감염되면 특정 레지스트리 값을 생성 및 변경해 윈도우 시작시 자동으로 실행되도록 한다.
잉카인터넷측은 “크리스마스나 신년 인사용 연하장 같은 이메일에 첨부 파일이나 특정 링크 등이 있을 경우 각별한 주의가 필요하다”며 “안티 바이러스 소프트웨어의 실시간 감시 기능을 항상 켜두고 발신자가 불분명한 이메일의 첨부파일이나 링크는 절대 클릭하면 안된다”고 경고했다.
장윤정기자 linda@etnews.co.kr
