의심 없이 무심코 파일 실행시, 잠재적인 보안 위협에 노출돼

▲지난 6월7일에는 미국의 유명 영화배우 안젤리나 졸리로부터 페이스북 초대 내용처럼 위장한 이메일이 국내에 유입되기도 했다. 본문에 포함돼 있는 페이스북 링크는 허위로 조작된 것으로, 또 다른 악성코드 유포 사이트로 연결되도록 만들어져 있다.

[보안뉴스 김정완] 1인 체제의 미디어와 커뮤니티를 형성해 실시간으로 다양한 정보를 공유하고 소통할 수 있는 마이크로 블로그 서비스인 소셜 네트워크 서비스(Social Network Service)가 전 세계의 수많은 사람들에게 폭발적인 호응을 얻고 있는 가운데 트위터(Twitter)와 페이스북(Facebook) 등의 이용자를 대상으로 하는 악의적인 공격 형태가 지속적으로 등장하고 있어 사용자들의 각별한 주의가 요구된다.

 

특히 SNS는 아이폰과 안드로이드폰 등 각종 스마트폰의 수요 급증과 맞물려 SNS 활용 범위가 웹에서 모바일까지 점차 확대되고 있다. 이는 다양한 인맥채널를 통해  새로운 정보가 신속하게 전파될 수 있는 기반이 충족됐다는 것을 의미한다.

이러한 이유로 SNS는 악의적인 의도를 가진 사이버 범죄자들에게 새로운 공격 매개체로 주목을 끌고 있는 것이며, 주요 표적이 되는 조건이 충분히 성립되어 있다고 할 수 있다.

이렇듯 SNS가 사이버 범죄자들에게 표적이 되는 것은 △세계적으로 많은 이용자가 사용 중 △신속하게 정보 전파 가능 △이용자들간에 신뢰도가 구축 △Short URL 등 변형 주소 사용 가능 △사회 공학적 기법 사용 용이 △사진이나 동영상 파일의 링크 클릭 유도 등의 주된 이유 때문이라고 잉카인터넷 시큐리티대응센터 측은 설명했다.

특히 이에 대해 문종현 잉카인터넷 대응팀장은 “가장 근래에 목격되고 있는 공격 유형은 허위 사실을 SNS나 불특정 다수의 E-Mail 주소 등으로 무차별 배포하며 인터넷 사용자들이 최대한 신뢰할 수 있도록 위장하고 현혹시킬 수 있는 문구나 이미지 등을 사용하고 있다”며 “그래서 수신자로 하여금 무심결에 유해성 내용을 직접적으로 실행하도록 유도하는 방식이 사용되어지고 있다”고 진단했다.

또한 최근에는 SNS의 대표적 서비스인 트위터(Twitter)와 페이스북(Facebook) 내용으로 위장한 형태가 국내에서 동시에 발견되기도 했다.

먼저 트위터의 사용자 암호 변경 내용처럼 조작된 가짜 내용을 마치 트위터 팀(The Twitter Team)에서 공식적으로 발송한 이메일처럼 위장해 악성 스크립트 코드(index.html)를 첨부해 유포된 형태가 국내에 유입된 사례가 있었다.

트위터 위장 내용과 마찬가지로 페이스북 사용자의 암호 변경 내용처럼 조작된 형태도 함께 발견되었고, 첨부파일명을 index.html에서 facebook_newpass.html이라는 이름으로 변경해 유포했다.

첨부돼 있었던 html 파일들은 모두 악의적인 스크립트 코드로 구성돼 있고 일반 사용자가 보고 코드의 악성유무를 판단하기 어렵도록 부분적으로 난독화(암호화)되어 있고, 첨부파일을 수신한 사용자가 아무런 의심 없이 무심코 파일을 실행할 경우 잠재적인 보안 위협에 노출되게 된다.

 

▲위 화면은 스크립트 파일의 모습 중 하나로 일부는 모자이크 처리했다.

 

그리고 지난 6월 7일에는 메일 본문 등도 트위터 화면처럼 스킨을 조작한 형태가 국내에 유입됐는데, 첨부된 파일은 존재하지 않고 이메일 본문에 트위터 URL 주소처럼 위장된 링크 주소를 통해서 사용자의 클릭과 특정 사이트를 방문하도록 유도하는 형태로 파일이 링크된 곳은 트위터쪽 주소가 아니라 악성코드가 존재하는 또 다른 사이트인 것.

 

▲본문에 포함되어 있는 http://twitter.com/Twitter_security_model_setup.zip 주소는 실제 트위터 도메인으로 오인할 수 있지만 이것 역시 조작돼 위장된 것으로 링크를 클릭하게 되면 위와 같이 구글 그룹 사이트로 연결되고 악성코드가 존재하는 또 다른 URL 링크를 클릭하도록 유도한다.

 

구글 그룹 사이트를 악용한 것 역시 사용자에게 조금이나마 링크된 주소를 신뢰할 수 있도록 하기 위한 악성코드 유포자의 수법 중에 하나이며, 링크된 주소를 클릭하면 다음과 같이 악성코드 파일이 다운로드 시도된다.

아울러 6월 7일에는 미국의 유명 영화배우인 안젤리나 졸리(Angelina Jolie)로부터 페이스북 초대 내용처럼 위장한 형태가 국내에 유입되기도 했다. 본문에 포함돼 있는 페이스북 링크도 허위로 조작된 것이며, 또 다른 악성코드 유포 사이트로 연결 되도록 만들어져 있다.

▲국내에 다수 전파되었던 사례 중 트위터 쪽지에 포함되어 있던 특정 URL 주소를 클릭하면 위와 같은 팝업창이 보여지며, Click to Play Now! 버튼 클릭을 유도하는 형태가 존재한다. 트위터 쪽지를 통해서 퍼지고 있는 URL 주소는 매우 다양하기 때문에 유사한 패턴을 미리 알고 있으면 도움이 된다.

이외에도 트위터 사용자들을 대상으로 DM(Direct Message) 쪽지 기능을 악용한 피싱(Phishing) 메시지가 지속적으로 전파되고 있어 각별한 주의도 요구된다.

이에 문종현 팀장은 “최근에도 트위터 쪽지(DM) 기능을 통해서 개인정보 수집 및 인터넷 광고, 악성코드 유포 목적으로 URL 전파가 지속적으로 증가하고 있는 추세이므로, 이러한 유사 내용을 쪽지로 받는 경우 URL 주소를 클릭하기 전에 세심한 주의가 필요하다”고 강조했다.

 

또한 문종현 팀장은 “트위터 사용자가 로그인을 하게 되면 계정과 암호가 외부로 무단 유출되어 또 다른 Follower들에게 해당 광고 쪽지를 발송하는 가해자가 될 수 있으므로, 트위터 쪽지 등으로 이와 같은 내용을 접하게 되면 보낸이에게 유해성 및 관련 내용을 전달해 트위터 암호나 계정을 신속하게 변경하도록 권고해 주는 것이 안전하다”고 덧붙였다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>