[보안뉴스 김정완] 잉카인터넷 시큐리티대응팀은 8일, 폭로전문 웹사이트 위키리크스(WikiLeaks)에서 보낸 메일로 위장한 스팸메일이 해외에서 발견·보고돼 이에 대한 사용자들의 각별한 주의가 필요하다고 밝혔다.

이번에 발견된 위키리크스 위장 스팸메일은 최근 악성파일 유포의 트랜드가 되고 있는 사회적 이슈를 악용한 사회공학적 기법을 사용한 것이다.

이 스팸메일의 유포방식은 위키리크스를 메일 제목으로 해 마치 특정 국가의 중요 정보를 공개하는 것처럼 위장해 첨부파일을 클릭하도록 유도하고 있다. 또한 메일을 이용해 내용에 특정 사이트에 대한 링크를 첨부한 후 다운로드를 유도해 특정 사이트 접속을 시도하게 하는 사례 또한 발견됐다.

또한 감염 방식 및 증상을 살펴보면, 메일의 첨부파일 형태로 유포된 경우 첨부된 파일(WikiLeaks.pdf)에 대한 다운로드를 유도한다.

첨부된 파일이 실행되면 정상파일명과 유사한 파일명(spoolsv.exe)의 파일을 생성하며, 시작프로그램에 등록되어 윈도우 재부팅 시 함께 실행될 수 있도록 한다. 그리고 감염될 경우 사용자 몰래 IE를 실행해 특정 사이트에 접속을 시도한다.

또한 메일에 특정 URL 주소를 포함해 악성파일 유포를 시도하는 경우, 첨부된 URL 주소를 클릭 시에 특정 사이트로 접속을 시도하는데, 이후 자바 파일(WikiLeaks.jar) 실행을 위한 실행 요청 화면을 보여준다. 자바 파일의 경우 위키리크스와 같은 이름을 파일명으로 하고 있어 사용자들은 무심결에 실행을 할 수 있다. 자바 파일이 실행되면 추가적인 악성파일(226.exe)이 다운로드 되어 실행된다.

이에 잉카인터넷 시큐리티대응팀은 “최근 사회적 이슈를 악용해 스팸 유포 등 사회공학적 기법이 기승을 부리고 있는 만큼 수신처가 불분명한 메일에 대해 최대한 주의를 기울이는 것은 이제 필수적인 보안 관리 수칙이 되었다”며 “이러한 메일들을 수신한 사용자가 있다면, 해당 메일을 열람하지 않아야 하며 첨부된 파일은 절대로 다운로드 하거나 실행해서는 안된다”며 예방 조치 방법을 전했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>