본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

스팸메일 하면 가장 먼저 떠오르는 것은 읽지 않은 채로 받은 편지함에 쌓여만 가는, 출처를 알 수 없는 광고메일들일 것입니다. 하지만 스팸메일은 꽤 오래 전부터 개인정보를 노리는 악성 소프트웨어들을 퍼트리는 수단으로도 이용되어 왔습니다. 멀웨어를 배포하는 수단은 다양하지만, 이메일을 통한 배포는 아직까지도 해커들이 애용하는 가장 효율적인 방법 중 하나입니다. 별다른 기술이 필요하지 않고 악성 링크나 파일을 첨부하여 유저들의 클릭만 유도하면 되기 때문입니다.


스팸메일은 더욱 진화해, 은행이나 페이팔, 통신사 등의 안내 메일을 그대로 복사하여 링크만 피싱사이트로 변경하는 수법을 사용합니다. 공격자는 금융 관련 개인 정보를 노리거나, 악성 매크로를 포함하는 MS 오피스 파일 또는 PDF 파일로 위장한 트로이목마 파일을 첨부하기도 합니다. 특정 타겟을 노리는 스피어 피싱 메일도 성행하고 있습니다. 스피어 피싱은 타겟이 된 사용자의 정보를 어느 정도 알고 있는 상태에서 행해지는 피싱 기법으로, 타겟 맞춤형 콘텐츠를 포함하고 있어 클릭률이 매우 높습니다. 특히 회사에서 개인 이메일이나 사내 메일로 수신된 악성 링크를 클릭하거나 파일을 다운로드할 시엔 더욱 주의해야 합니다. 이는 개인 정보뿐만 아니라 회사의 기밀정보를 노리는 APT 공격으로 이어질 수 있기 때문입니다.


업무상 국내외 파트너사들과의 연락이 잦은 경우에는 더욱 주의해야 합니다. 보안 의식이 부족한 파트너사의 경우, 해킹에 노출될 가능성이 높고 해당 직원들의
이메일을 통하여 스피어피싱 메일을 받을 수 있기 때문입니다. 이런 경우 회사에서 스팸메일 필터링 솔루션을 사용하고 있을지라도 공격에 노출될 가능성이 높습니다. 공격자가 스피어 피싱을 위하여 이전 메일의 패턴을 파악한 후, 익숙한 주제로 해당 직원의 어투 및 메일 서명까지 복사하는 경우에는 사용자가 무심코 첨부파일을 다운받거나 링크를 클릭할 수 있습니다. 따라서, 의심스러운 메일을 받았을 경우에는 아래 내용을 참고하여 악성 스팸메일에 주의해야 합니다.


1. 메일 내 링크에 마우스오버하여 의심스러운 링크가 아닌지 확인합니다.



링크 확인

링크 확인


 

2. Payment, docs, invoice, information 등의 단어가 포함된 첨부파일을 다운로드할 경우, 한번 더 살펴보는 등 주의를 기울여야 합니다.


3. ZIP, ARJ 등으로 압축된 EXE 첨부파일을 주의합니다.


4. PDF 파일로 위장한 악성파일에 주의합니다.
예) PDF나 스크린 세이버 파일로 위장한 멀웨어 다운로더 UPATRE의 SCR 파일입니다. PDF 아이콘을 사용하여 위장하고 있습니다.



PDF 파일 위장 악성파일1

PDF 파일 위장 악성파일1


 

PDF 아이콘을 사용한 악성 EXE 파일입니다. EXE 확장자를 숨기기 위해 파일명을 길게 하였습니다. 이를 실행하면 뱅킹 트로이목마인 EMOTET이 설치됩니다.


PDF 파일 위장 악성파일1

PDF 파일 위장 악성파일1


 

5. 매크로가 포함된 MS 오피스 파일을 다운받았을 때, 신뢰할 수 있는 경우에만 매크로를 허용해야 합니다.


6. 직장동료에게 받은 메일이 평소와 어투가 미묘하게 다르고, 그 내용이 동료와는 관계없는 주제이거나 평소 사용하는 서명이 없거나 다를 때, 이상한 느낌이 든다면 의심해 보아야 합니다. 이 경우 전화나 메신저를 통해 직접 확인하여, 악성 스팸메일에 대비해야 합니다.


7. 신뢰할 수 없는 메일에 bit.ly나 bst.bz, goo.gl 등의 단축 URL이 포함된 경우 되도록 클릭을 삼가합니다.


특정 기업이나 개인을 노리는 스피어 피싱을 위해 특별히 제작된 악성파일은 백신에서 탐지되지 않을 수 있습니다. 만약 악성으로 의심되는 메일 및 파일을 받았다면, 알약 내부의 [신고하기] 기능이나 메일(analysis@estsoft.com)을 통해 신고할 수 있습니다.