2009년 11월에도 비슷한 원고인 "전자메일로 유포되는 악성코드"를 쓴 적이 있었습니다만, 이 번 원고에서는 일반 소프트웨어의 취약점과 결합되어 전자 메일을 통해 유포되는 형태들 그리고 이러한 전자 메일을 이용한 악성코드 감염이나 내부 정보 탈취를 시도하는 모든 공격 기법들의 가장 근간이 되는 사회 공학(Social Engineering) 기법들에 대한 구체적인 사례들을 담고 있습니다.
현재에도 이러한 전자 메일을 악용한 공격 기법들은 자주 악용되는 기법들 중 하나이며 과거에 존재하던 세부적인 공격 기법들의 범주에서 크게 많이 달라지지 않았다고 생각 됩니다.
+----------------
인터넷이라는 거대한 네트워크가 발달하면서 우리는 전자 상거래와 전자 금융 거래 등 여러 가지 편리한 혜택들을 많이 누리는 시대에 살고 있다. 많은 혜택들 중에서도 가장 큰 혜택 중 하나는 흔히 이메일(E-Mail)이라고 이야기하는 전자 메일을 꼽을 수 있을 것이다. 현재 전자 메일은 인터넷에서 발생하는 네트워크 트래픽(Network Traffic) 중 큰 부분을 차지 할 정도로 많은 사람들이 업무적인 용도나 개인적인 용도로 다양하게 사용하고 있으며 이제는 대부분 전자 메일 주소를 서너 개 이상 가지고 있을 정도이다.
많은 분야에서 다양한 용도로 사용되고 있는 전자 메일은 빠르고 편리하게 메시지(Message)를 교환할 수 있는 편리함이라는 밝은 부분이 존재하는 반면 단시간에 많은 사람들에게 빠르게 다양한 보안 위협들을 전파할 수 있는 어두운 부분 역시 공존하고 있다.
이렇게 다양한 보안 위협들에 의해 악용되고 있는 전자 메일은 최근 1년 동안 다양한 기법들을 통해 고도화되고 지능화된 기법으로 사용자의 개인 정보들을 노리고 있다는 것을 알 수 있다. 또한 이러한 전자 메일을 악용한 보안 위협들의 형태와 사례들을 분석해보면 몇 가지 특징적인 사항들이 존재하고 있는 것도 알 수 있다.
1. 지능적으로 발전하는 사회 공학 기법
전자 메일을 악용해 발생하는 보안 위협 사례들은 공통적으로 전자 메일이 사람과 사람 사이에 전달되는 메시지 전달의 매개체라는 관점에서 사회 공학 기법(Social Engineering)과 밀접한 관련이 있다. 사회 공학 기법은 그 원래 의미에서와 같이 상대방이 신뢰할 수 있는 사람으로 위장하여 의도한 바를 실행한다는 점에서 전자 메일을 통해 그 의미가 가장 잘 실현된다고 볼 수 있다.
특히나 전자 메일을 받는 사람 입장에서는 보내는 사람을 신뢰할 수 있는 사람으로 위장할 수 있으므로 전자 메일에 포함되어 있는 보안 위협에 받는 사람을 쉽게 노출시킬 수 있다는 커다란 특징을 가질 수 있다. 또한 전자 메일 수신인이 흥미를 가질 만한 다양한 사회적인 주제들을 본문에 포함시킴으로써 쉽게 보안 위협들을 파악하지 못하도록 하고 있다.
이러한 예로 미국 팝 가수 마이클 잭슨의 사망 소식을 악용하여 유포된 전자 메일을 들 수가 있다. 미국의 유명한 팝 가수 마이클 잭슨이 2009년 6월 26일 심장 마비로 사망하였다는 소식이 언론을 통해 전 세계로 퍼지자 만 하루가 채 지나기도 전에 [그림 1]과 같은 악성코드 다운로드를 유도하는 전자 메일이 유포되었다.
해당 전자 메일은 마이클 잭슨이 심장 마비로 사망하기 직전의 모습들을 유튜브 동영상으로 볼 수 있다는 메일 내용을 가지고 있어 전자메일 수신자들의 호기심을 자극하였다. 그러나 이 메일은 본문에 포함되어 있는 뱅커(Win-Trojan/Banker) 트로이목마를 다운로드 하는 웹 사이트의 링크를 클릭하도록 유도하고 있다.
[그림 1] 팝 가수 마이클 잭슨의 사망을 악용 출처: Websens
이는 외국의 사례이며 전자 메일의 모든 내용들이 영어로 되어 있어 한국과 같은 비영어권 국가에서는 언어적인 문제로 인해 사회 공학 기법의 완성도가 떨어진다고 볼 수 있다.
그러나 이러한 언어적인 그리고 사회적인 특성은 보안 위협을 양산하는 주체의 의도에 따라 충분히 변경될 수 있는 사례로 볼 수 있다. 2010년 6월 BC카드 이용 대금 명세서를 포함한 전자 메일로 위장하여 악성코드 유포를 시도하였던 것을 그 예로 들 수 있다.
2010년 6월 23일 특정 은행에서 국내 다수 사람들에게 무작위로 발송하는 BC카드 이용 대금 명세서를 포함한 전자 메일이 발송된다. 해당 전자 메일은 [그림 2]와 같이 일반적으로 국내의 금융 업체에서 전자 메일로 발송하는 신용 카드 이용 대금 명세서와 동일한 형태를 가지고 있으며 이용 대금 명세서를 자세히 보기 위해서는 웹 사이트 링크를 클릭하도록 유도하고 있다.
그러나 해당 전자 메일에서 제공하는 “이용 대금 명세서 보기”에 포함된 웹 사이트 링크를 클릭하게 될 경우, 메일파인더 트로이목마(Win-Trojan/Mailfinder)에 감염된다. 이 트로이목마는 국내 포털 웹 사이트인 네이버로 분산 서비스 공격(DDoS)을 수행하게 한다.
[그림 2] BC카드 이용대금 명세서 메일로 위장 출처: 안철수연구소
앞서 살펴 본 두 사례 외에도 사회적으로 소셜 네트워크 서비스(Social Network Service)가 주목을 받고 많은 사람들이 이용하는 등 화제가 되자 SNS 웹 사이트인 트위터(Twitter)나 페이스북(Facebook) 등과 관련된 내용의 전자 메일을 유포하여 악성코드 감염을 시도하는 사례들이 2009년 6월부터 현재까지 지속적으로 발견되고 있다. 이와 함께 월드컵이 개최됐던 지난 2010년 5월에는 남아프리카 공화국에 전 세계인의 이목이 집중된 점을 악용하여 남아공 월드컵 투어 일정 관련 전자 메일로 위장한 악성코드가 첨부되어 유포된 사례도 존재한다.
2. 전자 메일에 첨부된 파일 형태의 지속적인 변화
과거에서 현재까지 전통적으로 전자 메일의 첨부 파일 형태로 악성코드를 유포하는 경우에는 메일 수신인으로 하여금 첨부 파일인 악성코드를 컴퓨터 시스템으로 바로 저장한 후 실행할 수 있도록 제작하는 것이 일반적이고 기본적인 방식이라고 볼 수 있다.
이러한 기본적인 방식은 전자 메일에 첨부된 악성코드를 윈도우 시스템에서 실행되는 파일 형태 그대로 첨부하여 유포하는 것이며 이와 유사한 사례로는 2010년 5월에 남아공 월드컵 관련 전자 메일이 실행 파일이 첨부되어 유포된 것을 들 수 가 있다.
당시에 유포된 전자 메일은 [그림 3]과 같이 현재에는 비교적 보기 어려운 EXE 확장자를 가진 실행 파일이 전자 메일에 첨부되어 있다. 그리고 첨부 파일을 일반적인 윈도우 시스템에 저장한 후 살펴보게 되면 윈도우 시스템의 기본 설정인 “알려진 파일 형식의 파일 확장명 숨기기”라는 옵션으로 인해 파일의 확장자는 보이지 않고 파일명만 보여지게 된다. 이로 인해 전자 메일 수신인은 해당 첨부 파일이 윈도우 시스템에서 실행 가능한 파일 형태인지 쉽게 파악하기가 어렵게 되어 있다.
[그림 3] 실행 파일이 첨부된 전자 메일 출처: 안철수연구소
앞서 언급한 바와 같이 전자 메일의 첨부 파일이 실행 가능한 파일 형태로 존재하는 것은 현재 쉽게 발견되지 않고 있으나 최근 몇 년 사이 발견된 전자 메일을 통한 악성코드 첨부 파일 형태들을 살펴보게 되면 ZIP과 같은 압축 파일 형태로 존재하는 것을 쉽게 발견 할 수 있다.
이러한 사례로 들 수 있는 것은 [그림 4]와 같이 2009년 6월부터 현재까지 소셜 네트워크 서비스와 같은 큰 사회적인 이슈에서부터 UPS 운송 관련 내용까지 광범위한 주제들을 전자 메일에 포함시켜 끊임 없이 유포되고 있는 브레도랩 트로이목마(Win-Trojan/Bredolab)와 지봇 트로이목마(Win-Trojan/Zbot) 변형들을 들 수가 있다.
[그림 4] ZIP 압축 파일이 첨부된 전자 메일 출처: 안철수연구소
첨부된 전자 메일들을 살펴보면 첨부 파일로는 모두 ZIP으로 압축된 파일이 첨부 파일로 존재하고 있어 이 메일을 받은 사람들은 해당 압축 파일로 인해 실제 그 압축 파일 내부에 어떠한 파일 형태가 존재하는지 쉽게 파악하기 어렵도록 되어 있다.
2010년 6월에 들어 새롭게 발견되고 있는 전자 메일의 첨부 파일 형태들을 살펴보게 되면 앞서 언급하였던 첨부 파일들이 공통적으로 가지고 있는 기본 사항인 실행 파일을 첨부하거나 실행 파일 압축 후 첨부하는 형태들을 벗어나고 있다는 점이다. 이러한 사례로 언급할 수 있는 첨부 파일 형태로는 [그림 5]와 같이 스크립트 파일인 HTML 파일이 전자 메일에 첨부되어 유포된 것을 들 수가 있다.
[그림 5] HTML 파일이 첨부된 전자 메일 출처: 안철수연구소
이 HTML 파일은 기본적으로 전자 메일에 첨부되어 있는 실행 파일을 주의하라는 현재까지의 고정 관념에서 벗어난 형태로 전자 메일 수신인들이 쉽게 보안 위협에 노출 될 수 있는 계기를 만들었다고 볼 수 있다. 그리고 해당 스크립트 악성코드 역시 정상적인 자바 스크립트 파일에서 볼 수 없는 심각한 난독화를 더하여 쉽게 분석이나 보안 제품에서 탐지되지 않도록 되어 있다.
이러한 스크립트 악성코드는 웹 브라우저(Web Browser)를 통해 정상적으로 실행 될 경우 인터넷에 존재하는 특정 시스템으로 접속하여 해당 악성코드 제작자가 의도한 성인 약품 광고 웹 사이트를 보여준다. 이와 함께 또 다른 악성코드를 다운로드 후 감염을 시도한다는 점들로 인해 악성코드 제작자가 의도한 다양한 보안 위협들을 쉽게 적용해 나 갈 수 있는 점을 특징으로 볼 수가 있다.
3. 취약점 그리고 악의적인 웹 사이트와 전자 메일이 결합된 복합적인 보안 위협
2009년 가을부터 전자 메일을 악용한 악성코드 감염을 시도하는 메일들의 형태를 살펴보면 새로운 형태로 다시 발전하고 있는 것을 알 수가 있다. 이 시기부터 발견되기 시작한 전자 메일들의 형태는 앞서 살펴보았던 형태와 다르게 악성코드가 전자 메일에 첨부 파일 형태로 존재하지 않고 있다는 점이다.
새롭게 발견되고 있는 전자 메일의 사례로는 2010년 4월에 발견된 [그림 6]과 같이 전자 메일 본문에 특정 웹 사이트로 연결되는 링크만 존재하고 악성코드로 의심될 만한 첨부 파일들이 존재하지 않고 있다.
[그림 6] 메일 본문에 포함되어 있는 웹 사이트 링크 출처: 안철수연구소
이렇게 메일 본문에 존재하는 웹 사이트 링크를 전자 메일 수신인이 클릭하게 될 경우 지봇 트로이목마와 같은 악성코드를 다운로드 하도록 하는 웹 사이트로 연결해 수신인이 언제든지 다양한 형태의 새로운 악성코드를 다운로드 할 수 있도록 한다.
또한 2010년 2월에는 전자 메일 본문에 제공되는 웹 사이트 링크를 통해 페이스북 피싱(Phishing) 웹 사이트로 접속을 유도한 사례도 발견되었다. 해당 사례에서는 [그림 7]과 같이 전자 메일 수신인이 연결된 웹 사이트가 개인 정보 유출을 목적으로 제작된 피싱 웹 사이트인 것을 쉽게 파악할 수도 있다는 점에 대비하였다. 따라서 윈도우 시스템이나 웹 브라우저에 존재하는 취약점을 악용하여 또 다른 악성코드를 자동으로 다운로드 한 후 감염을 시도하는 다중적인 감염 기법들을 적용하였다
[그림 7] 피싱 웹 사이트 유도 후 악성코드 감염 출처: 안철수연구소
앞서 언급한 바와 같이 이렇게 복합적인 형태의 보안 위협들의 구성이 가능하게 된 점은 전자메일과 사회 공학적 기법을 사용하였기 때문이다. 즉, 매개체로 전자 메일을 사용하였고 그 전자 메일 본문에는 간단하거나 호기심을 끌만한 내용으로 웹 사이트의 실제 주소를 숨긴 채 링크만을 제공함으로써 보안 제품과 전자 메일 수신인이 보안 위협들을 알아차리지 못하게 되었다고 볼 수 있다.
그리고 보안 위협이 존재하는 악의적인 웹 사이트로의 접속을 통해 악성코드 제작자는 전자 메일 수신인이 가지고 있는 가장 취약한 시스템 설정에 맞추어 공격할 수 있는 기회를 얻게 됨으로써 결국 악성코드 제작자가 의도한 악성코드 감염 성공률을 높이게 되는 효과를 가질 수 있게 되었다고 볼 수 있다.
전자 메일을 악용한 보안 위협 사례들을 종합해보면 단순하게 악성코드가 첨부된 전자 메일을 유포하는 것에서부터 전자 메일 본문에 윈도우 시스템의 취약점을 악용한 웹 사이트로 접속을 유도하는 링크까지 복합적이고 지능적인 형태로 계속해서 발전해 가고 있는 것을 알 수 있다. 그리고 전자 메일 수신인들을 더욱 교묘하게 현혹시키기 위해 사회 공학 기법적인 측면에서는 다양한 주제들을 사용하여 정상적인 전자 메일과의 구분을 더욱 어렵게 하고 있는 실정이다.
결국 이러한 악의적인 목적으로 유포되는 전자 메일로부터 피해를 예방하기 위해서는 보안 제품을 설치하고 사용하는 윈도우 시스템의 보안적 관리도 중요하게 수행하여야 하겠지만 항상 정보 보안에 관심을 가지고 새로운 보안 위협들에 대한 정보들을 수시로 접하여 언제든지 보안 위협에 대비하는 자세를 갖추는 것이 중요하다고 볼 수 있다.
댓글 없음:
댓글 쓰기