전자메일로 유포되는 악성코드

2009년 11월에 전자신문에 기고한 "전자메일로 유포되는 악성코드"라는 원고인데 지금 찾아보니 해당 언론사 웹 사이트에서는 찾아보기가 어렵네요.

주제는 2009년 당시 전자 메일로 유포되었던 악성코드들의 특징들을 다루고 있으며, 이를 통해 유포되는 악성코드 감염을 예방하기 위한 방안들이 정리 되어 있습니다. 지금 읽어보아도 그리 오래지 않은 시기라 현재 유포되는 악성코드들의 특징과 매우 흡사합니다.

+-------------

한 동안 주춤하던 전자 메일로 유포되던 악성코드들이 최근 들어 다시 한국 내로 유입되는 사례가 증가하고 있어 컴퓨터 사용자들은 자주 사용하는 컴퓨터가 악성코드에 감염되지 않도록 많은 주의가 필요하다.
과거 전자 메일을 통해 유포되던 악성코드들의 경우, 대부분이 자기 복제가 이루어지는 웜(Worm)의 형태로 사회 공학 기법을 이용하여 친숙한 사람이나 신뢰 할 수 있는 사람이 보낸 메일로 위장하여 전자 메일에 첨부되어 있는 파일을 실행 하도록 유도하는 사례가 대부분이었다. 그리고 그 피해 면에서도 감염된 시스템에서 전자 메일 주소들을 수집하여 다시 악성코드가 첨부된 메일들을 대량 발송함으로 시스템이 느려지거나 네트워크가 느려지는 현상이 발생하게 된다. 기업의 경우에는 메일 서버와 기업 네트워크에 부하를 주어 기업의 업무 마비 또는 기업 IT 자산의 불필요한 소모가 발생하게 된다.

[그림 1 - 전자 메일에 첨부된 악성코드]

그러나 최근에 자주 발견되는 전자 메일을 통해 유포되는 악성코드들의 사례를 분석해보면 과거와 달리 수신된 메일 본문에는 특정 웹 사이트 주소가 포함되어 있어 해당 웹 사이트를 이용해 특정 실행 파일을 다운로드 후 실행하도록 유도하고 있다. 그리고 그 다운로드 되는 실행 파일들 대부분이 개인 정보 유출을 목적으로 제작된 트로이 목마라는 점이 가장 큰 차이점이라고 볼 수 있다.

[그림 2 - 메일 본문에 존재하는 악성코드 유포 웹 사이트 주소]

이러한 웹 사이트와 연계하여 전자 메일로 유포되는 악성코드들 중 대표적인 사례로는 11월 21일을 즈음하여 안철수연구소 시큐리티대응센터(ASEC)의 엑티브 허니팟(Active Honeypot)에 의해 탐지된 악의적인 전자 메일을 예로 들 수가 있다. 

[그림 2]와 같은 해당 전자 메일은 시스템 보안 관리자를 사칭하여 특정 웹 사이트로 연결을 유도 한 후, 해당 웹 사이트에서 악성코드를 다운로드 한 후 실행하도록 유도하는 형태였다. 그리고 메일 제목에서부터 "for <수신인 메일 주소> owner", "please update your <수신인 메일 주소> mailbox", "dear owner of the <수신인 메일 주소>"와 "for <수신인 메일 주소> email service user" 형태들로 되어 있어 전자 메일을 보낸 사람이 실제 시스템 보안 관리자인 것으로 오해 할 수 있도록 제작되어 있었다.

[그림 3 - 실행 파일을 다운로드 하도록 유도하는 웹 사이트]

그리고 메일에는 첨부 파일 대신 특정 웹 사이트 주소가 존재하여 해당 주소를 클릭하여 해당 웹 사이트로 이동하게 되면 [그림 3]과 같이 플래쉬 플레이어(Flash Player)가 최신 버전이 아님으로 해당 웹 사이트에서 제공한 내용을 표기 할 수 없다는 문구를 포함하고 있다. 이러한 문구로 인해 컴퓨터 사용자는 자신 사용하는 컴퓨터에 문제가 있는 것으로 오해하고 해당 웹 사이트에서 제공하는 실행 파일을 다운로드 한 후 실행하게 된다.

[그림 4 - 실행 파일의 다운로드 과정에서 진단된 악성코드]

그러나 해당 웹 사이트에서 제공하는 flashinstaller.exe (123,392 바이트) 파일은 기존에도 지속적으로 발견되었던 지봇(Zbot) 트로이목마 변형 중 하나이며 해당 악성코드에 감염이 될 경우, 컴퓨터 시스템에 존재하는 중요 개인 정보들이 외부로 유출되는 사고가 발생 할 수도 있게 된다.

사람의 심리를 공격한다는 전통적인 사회 공학 기법과 함께 웹 사이트와 연계하여 유포되는 악성코드들의 감염을 예방하기 위해서는 다음 사항들을 참고하여 악성코드의 감염으로 인해 큰 피해를 입지 않도록 주의하여야 할 것이다.

1. 자주 사용하고 중요한 개인 정보가 포함된 컴퓨터 시스템에는 백신을 설치하고 최신 엔진 업데이트 한 후 실시간 감시 기능을 활성화 시켜두는 것이 중요하다.

2. 수신한 전자 메일의 보낸 사람이 잘 알지 못 하는 사람일 경우에는 가급적 해당 전자 메일을 열지 말고 바로 삭제하는 것이 좋다.

3. 잘 아는 사람이 보낸 전자 메일이라도 첨부 파일이 존재하는 경우에는 실행 하기 전에 최신 엔진으로 업데이트된 백신으로 해당 파일을 먼저 검사하여 문제가 없는지 검증한 후에 실행 하도록 한다.

5. 전자 메일에 존재하는 웹 사이트 링크는 함부로 클릭하지 않도록 하며 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어를 설치하여 웹 사이트를 통해 유포되는 악성코드의 감염을 예방하도록 한다.

6. 악성코드 감염을 예방하기 위해 자주 사용하고 중요한 개인 정보가 보관되어 있는 컴퓨터 시스템에는 운영체제와 소프트웨어에 존재하는 취약점들을 제거 할 수 있는 보안 패치를 모두 설치 하도록 한다.