지난달 전 세계에서 발송되는 메일 중 스팸메일의 비율이 74.81%로 지난해 같은 기간의 89.22%에 비해 급감한 것으로 나타났다. 이는 지난해 9월 러시아의 ‘스팸잇닷컴(SpamIt.com)’ 사이트 폐쇄와 10월 초 최악의 사이버 범죄로 불리는 ‘제우스(Zeus)’ 관련 범죄조직 검거 등 여러 성과가 있었기 때문으로 분석된다. 지난 3월엔 미 정부와 마이크로소프트가 세계 최대 규모로 알려진 러시아의 러스톡(Rustock) 봇넷을 강제 폐쇄 조치하기도 했다.
또 빈 라덴의 사망 소식을 악용한 스팸 사기가 급증한 것도 지난달 보안 업계의 주요 이슈 중 하나였다. 이런 내용은 시만텍이 전 세계 스팸 및 피싱 동향을 조사 분석한 ‘시만텍 월간 스팸 및 피싱 현황 보고서’ 5월호에 따른 것이다.
◇러스톡 봇넷 폐쇄가 스팸 감소에 큰 역할=이 보고서에 따르면 러스톡 봇넷의 폐쇄 여파로 전 세계 일일 평균 스팸량이 지속적으로 감소하고 있는 것으로 나타났다.
4월 전체 메일 중 스팸이 차지하는 비율은 74.81%로 3월의 74.68%와 비슷한 수준이었다. 하지만 전년보다 14% 이상 감소한 수치다.
세계 최대 규모로 알려진 러시아의 러스톡 봇넷은 2010년 말 활동을 중단했다가 올 1월 다시 활동을 재개하는 듯 보였다. 하지만 지난 3월16일 미 정부와 마이크로소프트에 의해 강제 폐쇄 조치되면서 전 세계 스팸량이 3월16일 24.7%, 3월17일 11.9%로 급감했다.
반면 4월 발생한 피싱 공격의 경우 3월과 비교해 15.61% 증가했다. 특히 자동화된 공격용 툴킷과 고유 도메인을 통한 공격이 전월 대비 각각 26.19%와 12.29% 증가했다. 또 피싱 공격에 이용되는 웹호스팅 서비스의 경우 전체 피싱 공격의 12%를 차지했다.
전 세계 스팸 진원지로는 미국이 31%로 1위를 차지했다. 러시아(5%), 브라질(5%), 네덜란드(5%), 인도(4%), 대만(4%), 우루과이(3%)가 그 뒤를 이었다. 한국은 3%로 8위에 올랐다.
전 세계 피싱 사이트 호스팅 지역으로는 미국이 51%로 스팸 진원지에 이어 1위를 차지했다. 그 뒤를 이어 독일(7%), 영국(5%), 캐나다(3%), 프랑스(3%) 등이 순위에 올랐다.
◇빈 라덴 사망 이용한 스팸과 피싱 기승=한편 미국 특수부대가 알카에다 최고지도자인 오사마 빈 라덴을 사살했다는 소식이 전해진 이후 인터넷 상에는 각종 관련 스팸메일과 사이버 사기가 기승을 부렸다.
9.11 테러의 배후로 지목된 오사마 빈 라덴은 파키스탄 수도 이슬라마바드 북쪽에 위치한 아보타바드의 저택에서 미 CIA의 작전을 통해 죽음을 맞았다. 통상 유명인이나 오사마 빈 라덴과 같이 악명높은 인사들의 주요 뉴스 이벤트들은 사이버 사기의 좋은 소재가 된다.
이런 스팸들은 오사마 빈 라덴의 사망소식과 함께 악성코드에 감염된 메시지를 포함하고 있다. HTML의 ‘제목(Title)’ 태그에 포함된 보도기사의 일부는 사용자에게 보이지 않는데, 이는 스팸 발송자가 메시지에 콘텐츠를 무작위로 포함시키기 위해 합법적인 뉴스 피드를 사용하고 있기 때문으로 분석된다. 실제로 이 메시지에 포함된 링크는 오사마 빈 라덴 죽음 기사와 전혀 관계가 없으며 광고성 판촉 사이트로 연결된다.
오사마 빈 라덴 스팸은 영어 외의 언어로도 등장해 주목을 끌었다. 포루투갈어로 작성된 한 스팸 메시지는 오사마 빈 라덴의 죽음 당시 방송되지 않은 영상을 볼 수 있다는 내용을 담고 있다. 이 같은 스팸메일을 열어볼 경우 사용자 몰래 악성 프로그램을 다운로드해 컴퓨터를 감염시키는 형태의 악성 활동을 일으키게 된다.
일례로, 한 피싱 사이트는 아이프레임(iframe)으로 빈 라덴 관련 맛보기 동영상을 자동으로 보여준 후 사용자에게 동영상 다운로드 링크를 클릭해 완전한 비디오를 다운로드 받으라고 유혹한다. 사용자가 링크를 클릭하게 되면 ‘다운로더(Downloader)’로 탐지되는 .exe 실행파일을 강제로 다운로드 시켜 감염시킨다.
◇출처 불명 메일과 사이트 클릭 주의=시만텍에 따르면 시만텍은 ‘글로벌 인텔리전스 네트워크’를 통해 포르투갈어, 프랑스어, 스페인어 등 다양한 언어로 만들어진 악성 스팸 메일들을 탐지했다. 해당 메일에 포함된 링크를 클릭할 경우 사용자의 컴퓨터에 ‘다운로더’로 알려진 악성 프로그램을 설치해 실제 악성 코드를 다운로드 받는다. 이러한 악성 공격의 진원지는 주로 브라질, 유럽 및 미국으로 분석된다.
시만텍코리아 윤광택 이사는 “글로벌 사건사고 소식을 악용한 온라인 사기 피해를 예방하기 위해서는 일방적으로 송부된 전자메일에 포함된 링크는 직접 클릭하지 말고 발신처나 단체의 합법성을 확인해야 한다”고 말했다.
그는 “특히 다른 사기 범죄의 피해 원인이 될 우려가 있기 때문에 잘 알지 못하는 메일에는 개인정보와 금융관련정보를 제공하지 않도록 주의해야 한다”고 강조했다.
이 보고서는 온라인 사기 피해를 막기 위해 다음과 같은 사용자 행동요령을 담고 있다.
#이메일 사용 시:출처가 불확실한 메일은 열어보지 않는다. 또 오사마 빈 라덴 사망과 같은 글로벌 사건사고 소식들을 전하는 메일을 열어볼 때 주의를 기울인다. 공격자들은 이 같은 뉴스에 악성 자바 스크립트 등을 교묘히 삽입해 사용자들의 개인정보를 빼돌리거나 컴퓨터를 감염시킨다.
#소셜 네트워크 상에서:출처가 불분명한 동영상 링크를 클릭하지 않는다. 동영상 공유 사이트에서 회원등록이나 개인정보를 요청할 경우 합법적인 URL인지 확인해야 하며, 비디오를 보기 위해 절대 개인정보를 입력하지 않는다. 사이버범죄자들은 이 같은 수법을 통해 개인 정보를 빼돌려 금전적 이득을 취한다.
안호천기자 hcan@etnews.co.kr
관련 통계자료 다운로드 세계 피싱 사이트 호스팅 지역
-
안호천 기자기사 더보기