사용자 속이는 이메일 변종에 주의해야..

▒ 속임수 이메일 링크 주소 이용한 악성코드 설치

최근 Zhelatin, Storm, Nuwar 등의 이름을 가진 이메일 웜 변종들이 여러 가지 방식으로 자신을 확산시키는데 사용하고 있다. 주로 전자카드(E-Card)로 위장하는 것이 많았는데 최근 들어와서는 특정 사이트의 가입멤버 초대관련 내용을 이용해서 사용자들을 유혹하고 있다.

이와 같은 이메일 웜 등은 첨부파일 형태로 사용자에게 유포되는 것이 전통적인 방식이었으며 이는 메일서버 등에 설치된 서버 백신으로 차단되어 그 지속성은 갈수록 하향되는 추세였다.

이메일을 통한 악성프로그램 유포자들은 이러한 차단으로부터 벗어나기 위해서 압축을 하거나 압축암호를 포함시키거나 하는 등 좀 더 지능화된 방법 등으로 발전시켜 사용하기도 했다. 그렇지만 대체적으로 파일을 첨부해야 하는 경우 일반 사용자들에게 쉽게 의심을 받게 되어 감염 및 확산 정도는 상당히 감소했다.

이러한 이메일 웜의 한계를 극복하기 위해서는 악성프로그램 유포자들은 첨부파일이 아닌 링크방식을 도입하는 것을 사용하였는데 링크된 주소가 노출되면 쉽게 차단시킬 수 있었기 때문에 초기 효과는 매우 미비했고 앞으로도 큰 영향이 없을 것으로 예측할 수 있었다.

하지만 예측과 달리 이메일 웜은 하나의 링크 주소만을 사용하는 것이 아닌 다양한 주소를 이용함에 따라서 초기 차단 대응에 어려움이 발생했고 이로 인해 무작위로 발생되는 이메일 웜 변종들이 다시 기승을 부리는 원인을 제공하고 있다.

아직은 초기단계로 사용되는 방식이라 일반 사용자들이 많이 접해보지 않았고 그로 인하여 호기심에 해당 링크에 접속하여 감염이 이루어지는 경우가 많다고 할 수 있기 때문에 많은 홍보와 정보제공을 통해서 기존 첨부파일 방식처럼 이메일 링크의 위험성 존재를 인식시킬 수 있다면 충분히 소멸될 수 있는 방식이라 할 수 도 있겠다.

 

아래는 최근 국내외에 유포된 이메일 화면으로 내부에 다양한 방식의 내용을 통해서 사용자를 유혹하여 링크를 클릭하거나 특정 사이트로 접속 시에 악성프로그램 설치를 하도록 유도하는데 사용하고 있다.

모두 특정 사이트 주소나 링크를 클릭하도록 만드는 경우이니 이 점을 유심히 기억해 두었다가 이러한 형태의 이메일을 알지 못하는 사람으로부터 수신할 경우에는 각별히 주의하거나 링크 클릭을 자제하는 것이 좋겠다.

 

 

 이 같은 사례와 같이 이메일 본문에 포함되어 있는 IP주소나 특정 링크는 모두 악성프로그램이 설치되는 기능을 가지고 있기 때문에 절대로 접속하거나 설치되는 파일을 실행하지 말아야 한다.

<글: 임대청 과장 / 잉카인터넷 전략기획실 홍보팀>

 

<출처> 보안뉴스