금융 정보를 수집하는 악성코드 ‘드라이덱스(Dridex)’가 스팸메일을 통해 대규모로 확산됐다. 금융 관련 트로이 목마 중 가장 위협적인 유형이다. 수백만건에 달하는 위장 스팸메일로 유포가 이어져 이메일 확인 시 각별한 주의가 필요하다.
시만텍(지사장 박희범)은 금융 정보 탈취가 주목적인 드라이덱스(W.32.Cridex)가 대규모 스팸 캠페인으로 확산된다며 7일 주의를 당부했다.
드라이덱스는 전 세계 40여개 지역의 300여개 기업을 목표로 활동 중이다. 시만텍 분석 결과 드라이덱스 스팸 공격 캠페인은 10주 기준 최소 145건이 발견됐다. 공격 한 건당 회사가 차단한 메일은 평균 27만1019건이다. 하루 발송되는 스팸메일이 수백만건에 달한다.
드라이덱스 공격자는 지속적으로 악성코드를 강화했다. 공격 74%는 발신인 주소뿐만 아니라 이메일 본문에서도 실제 기업명을 빈번하게 노출시켰다. 스팸 공격 대다수가 인보이스, 영수증, 주문서 등 금융 관련 이메일로 위장했다.
미국과 영국, 호주 등 영어권 국가 은행 고객이 주 표적이다. 영어로 된 스팸 공격이 많아 해당 지역에서 높은 감염률을 보였다. 유럽과 아시아태평양 지역 국가도 공격 목표다. 국내에서도 감염 사례가 보고됐다.
시만텍은 공격 배후에 대규모 사이버 범죄 집단이 있는 것으로 추정했다. 미 법무부는 동유럽 몰도바와 그 외 지역에 있는 범죄자가 드라이덱스 봇넷을 운영한다고 밝혔다. 지난해 10월 국제 사법 당국 공조로 관계자 기소와 봇넷 제어 차단을 위한 연합작전이 실시됐지만 드라이덱스 공격은 여전히 활개친다.
윤광택 시만텍코리아 제품기술본부 상무는 “최근 드라이덱스 스팸 캠페인이 전 세계적으로 확산되고 국내에서도 감염사례가 확인돼 각별한 사용자 주의가 필요하다”며 “현재는 금융정보 탈취가 목적이지만 언제든지 쉽게 목표를 수정해 공격할 수 있다”고 말했다. “발신인이 불명화하거나 의심스러운 이메일은 즉시 삭제하고 시스템과 보안 소프트웨어를 최신 상태로 유지해야 한다”고 덧붙였다.
박정은기자 jepark@etnews.com
