• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[생활 속 안전실천④] 위장 악성코드 조심하기! 2013.07.11

유명 프로그램·문서 파일, 주요내용 담은 이메일로 위장해 침입 시도


[보안뉴스 김경애] 만약 컴퓨터 사용자가 어떤 파일이 악성코드임을 알게 되면 그 파일을 사용자는 PC에 설치하지 않을 것이다. 그러나 이를 누구보다 잘 알고 있는 공격자는 개인정보 탈취, 금전적 이득 등 원하는 목적을 달성하기 위해 악성코드를 제작하고 위해 유명 프로그램 또는 문서파일 등의 주요내용을 담아 이메일로 위장해 침입을 시도한다.

그렇다면 주로 어떤 형태의 프로그램 또는 파일로 위장할까?


이와 관련  안랩(대표 김홍선www.ahnlab.com)은 ‘보안 바로알기(Know the security) 캠페인’의 일환으로 지금까지 발견된 사례 중 대표적인 형태로 △유명 프로그램 및 앱 위장 △ 문서 파일 위장 메일 위장 등에 대해 제시했다.


유명 프로그램 및 앱 위장

유명 프로그램을 위장하는 것은 그야말로 ‘고전’이라고 볼 수 있다. 위장 또는 사칭프로그램은 PC에서 사용가능한 모든 프로그램이 그 대상이라고 봐도 무방할 만큼  일반 사무용 프로그램에서 인기 프로그램, 게임 고득점 프로그램 등 다양하다.


그 가운데 악성코드로부터 PC를 지켜주는 백신 프로그램을 위장하는 경우도 종종 발견되기도 한다. 특정 지역에서 인기가 높은 백신이 사칭의 대상이 되는데, 우리나라의 경우 안랩의 V3를 사칭한 경우도 있었고, 외신을 살펴보면 맥아피사와 시만텍사의 제품을 사칭한 경우도 자주 보고 되기도 한다.


최근에는 스마트폰을 비롯한 모바일 환경이 확산됨에 따라 모바일 악성코드도 기승을 부리고 있는 가운데, 인기 앱을 사칭하는 경우가 많다. 주로 인기 게임이 그 대상이고, 보안 제품을 사칭한 경우도 있다.


따라서 PC나 모바일에서 프로그램(모바일의 경우 앱)을 다운로드할 때, 제작자를 반드시 확인하고, 출처가 불분명하거나 평판이 좋지 않다면 설치를 자제하는 것이 좋다고 안랩 측은 당부했다. 또한, 업체에서 제공하는 보안 패치는 빠지지 않고 제때 설치할 것을 덧붙였다.


문서 파일 위장

컴픁터 사용자는 모르는 사람에게서 메일을 받았을 때, 첨부파일의 확장자가 ‘.exe’인 파일과 ‘.pdf’인 파일 중 컴퓨터 사용자는 워드나 한글, PPT 등의 문서파일 등을 위장한 파일을 의심 없이 열어보기 쉽다. 열어보더라도 실제 관련 내용을 보여주고, 보이지 않는 뒷단에서 악성코드 설치를 시도하기 때문에 사용자가 알아채기도 어렵다.


최근에는 북핵 관련 문서, 출장보고서, 조류독감 안내문 등 다양한 주제의 문서를 위장한 악성코드가 발견되었다. 이러한 악성문서는 문서 편집 프로그램이나 뷰어 등에 존재하는 알려진 보안 취약점 혹은 알려지지 않은 취약점을 이용해 PC에 침투한다. 보안 패치가 되어 있지 않은 문서 편집 프로그램이나 뷰어로 악성문서를 열면 악성코드에 감염된다.


이런 문서를 위장한 악성코드는 요새 지능형 지속 위협인 APT 방식의 공격에 사용되기도 한다. 따라서 이러한 위협을 피하기 위해서는, 출처가 불분명한 문서파일을 받았을 때 실행하지 않는 것이 좋다.


메일 위장

주요 정보로 위장한 악성 이메일도 많이 위장되는 형태 중 하나이다. 보안 업계의 자료에 따르면 APT공격의 90% 이상에 악성코드를 첨부한 이메일이 사용되었다. 그 정도로 위장 메일은 보안 위협, 특히 표적 사이버 공격에 자주 사용되고 있다.


최근의 경우만 보더라도 은행 공지, 이메일 청첩장, 금융사 정보, 통화 및 카드 명세서, 유명 국제 운송회사 송장, 페이스북 관리자, 교통 범칙금까지 매우 다양한 내용 및 발신자로 위장한 악성메일이 발견되었다. 이런 악성메일은 대부분 첨부파일을 실행하도록 유도하고 있는데, 이를 실행하는 순간 PC에 악성코드가 침투한다.

특히, 최근 국내에서는 실제와 구분하기 어려울 정도로 유사하게 제작된 신용카드 거래 명세서로 위장한 경우가 있었고, 해외에서는 글로벌 운송회사의 화물추적 및 운송장으로 위장한 사례가 꾸준히 발견되고 있다는 것이 안랩 측 설명이다.


따라서 피해 예방을 위해서는 메일의 발신자를 반드시 확인해야 한다. 사칭한 메일 계정은 정상 계정과 비교해 어딘가 다른 부분이 있게 마련입니다. 또한, 호기심을 자극하는 내용이더라도 문법이 조금 틀리거나, 어색한 표현 등 조금이라도 수상한 점이 보인다면 메일 및 첨부파일을 열어보지 않는 것이 좋다.


위의 경우 이외에도 악성코드가 위장하는 방법은 더욱 다양해지는 동시에 교묘해지고 있는 가운데 악성코드 피해를 줄이기 위해 △ 백신 최신 버전 유지 △ 프로그램 제작사에서 제공하는 보안패치 제때 설치 △발신자가 불분명한 메일 및 첨부파일 △첨부 URL 실행 금지하는 것이 좋다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>