공공기관 사칭 랜섬웨어(Ransomware)가 첨부된 악성 이메일이 갈수록 진화하고 있어 각별한 주의가 요구된다.
이번에 출현한 악성코드는 공정거래위원회가 정교한(발신인 및 직인, 내용 등) 공문서 형태 이미지를 포함하고 있어, 대부분 사용자가 속을 위험이 매우 크다.
랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어로 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤, 금전을 요구하는 악성 프로그램으로 한 번 감염되면 복원하기 거의 불가능하며, 돈을 지불한다고 해도 복원이 보장되지 않는다.
이번에 유포된 공정위의 '전자상거레 위반행위 조사통지서’라는 제목으로 발송됐다. 또 첨부된 파일은 png 이미지 2개와 악성코드가 포함된 '전산 및 비전산자료 보존 요청서'라는 egg 압축 파일명이다.
해당 압축 파일을 풀어보면 '부당 전자상거래 위반행위 안내'와 '전산 및 비전산자료 보존 요청서' pdf 파일로 보인다. 하지만 마치 PDF 파일처럼 보이지만 실제로는 실행파일이다. 즉 '전산 및 비전산자료 보존 요청서 pdf .exe'와 '부당 전자상거래 위반행위 안내 pdf .exe'다.
이는 공백을 이용한 exe 확장자를 가리는 방식을 취하고 있다. 해당 악성 이메일을 수신하면, 첨부파일을 절대로 클릭하지 않도록 주의해야 한다.
악성코드 유포 악성 이메일 피해예방 수칙은 △신뢰할 수 있는 백신 프로그램 설치 및 최신 버전 유지 △윈도우 등 OS 및 사용 중인 프로그램은 최신 버전으로 업데이트 △중요자료는 네트워크에서 분리된 별도 저장장치에 정기 백업 △출처가 불분명한 이메일 또는 첨부파일은 실행 주의 등이다.
보안전문가 오디터 리(Auditor Lee)는 "어색하던 한글 번역이 많이 개선됐다, 대충 읽으면 속기 쉬워졌다. 조금 이상한 메일 받으면 반드시 발신자 확인해야 한다"며, "보통 메일의 '헤더보기'를 해서(헤더 볼 줄 모르더라도) @가 있는 이메일 주소들만 살펴봐도 알 수 있다"고 당부했다.
서울도시가스 보안전문가 이현정 과장은 "공정위 사칭이 얼마 전까지는 hwp 파일로 악성파일이 왔었다. 하지만 오늘 유포되는 압축파일(검사 회피용)에 pdf 파일인 것처럼 위장한 실행파일이다"며, "첨부된 이미지는 공정거래 위원회의 공문처럼 보이게 작성되어 있는데 옛날처럼 조잡하지 않다. 유포 기술이 발전한 것으로 보인다"고 말했다.
그는 이어 "공격대상자 입장에서는 파일 확장자 확인만으로는 놓칠 수 있으며, 악성파일은 일단 실행 시 특별한 행위를 보여주지 않는 경우가 많다."며 "그냥 넘어가지 말고 해당 사항을 보안팀에 알려주는 것이 피해 확산을 막는 가장 좋은 방법이다"라고 말했다.
요즘은 백신이 최신 악성코드를 막지 못하는 경우가 많다. 따라서 엔드포인트(Endpoint, 네트워크의 말단에 접속된 IT 기기인 PC, 노트북, 서버용 컴퓨터) 방어가 최선이 아닌 계층 방어를 해야 한다,
악성코드 실행 시 페이로드(Payload) 다운로드 등을 막을 수 있어서 엔드포인트 방어가 뚫려도 다음 단계에서 방어가 되기 때문이다. 따라서 보안관리자는 다층 방어를 염두에 둔 보안운영이 필요한 시점이다.
KPI뉴스 / 김들풀 전문기자 itnews@kpinews.kr
[ⓒ KPI뉴스. 무단전재-재배포 금지]
