첨부파일 실행하면 벌어지는 일들...정보탈취·악성코드 재배포

[보안뉴스 민세아] 뜬금없이 ‘my photo’ 라는 메일을 받아본 적 있는가? 모르는 외국인이 자신의 사진을 보내며 당신의 사진도 함께 보내달라는 내용의 메일을 보낸다. 그러나 첨부되어 있는 my_new_photo.zip 파일을 다운받고 열어보는 순간 당신의 PC는 악성코드에 순식간에 장악당하게 된다.

보안전문업체 하우리에 따르면 해당 메일에 첨부된 zip 파일은 이미지 파일로 위장하고 있는 악성 exe 파일인 것으로 드러났다. 첨부파일을 실행할 경우 정상파일명으로 위장한 악성파일이 생성된다. 이는 사용자가 실행중인 프로세스를 확인할 때 정상 프로세스로 생각하도록 하기 위함이다.

해당 파일은 레지스트리에 등록돼 재부팅 후에도 실행되며 악성코드 제작자의 명령을 받아 외부 C&C 서버와 통신하면서 시스템 정보 유출, FTP 계정 정보 탈취, 추가 악성코드 다운로드가 이루어질 수 있다.

해당 악성코드 중 일부 변종은 감염된 사용자 PC에 저장된 다른 사용자들의 이메일 주소를 수집한 후 스팸메일을 재배포하기도 해 감염된 시스템에 네트워크 과부하를 일으킬 수 있다.

이러한 악성코드의 등장은 새삼스러운 것이 아니지만 그렇다고 감염 결과를 우습게 봐선 안 된다. 사용자 한 명의 실수로 인해 내부 네트워크 전체가 감염되거나 개인 이메일 주소록을 통해 악성코드가 재배포 될 수 있어 또 다른 피해를 발생시킬 수 있기 때문이다.

이러한 악성 이메일로 인한 피해를 최소화하기 위해서는 출처가 불분명한 이메일이나 파일은 확인하지 않고 바로 삭제하는 것이 좋다. 메일 게이트웨이나 네트워크 단에서 악성 이메일을 차단해주면 좋겠지만 개인이 일정한 규칙을 설정해 스팸메일을 바로 정크메일함으로 보내버리는 방법도 있다.

스팸메일을 보내는 메일주소는 계속해서 바뀌기 때문에 수신차단 목록에 보내는 사람을 추가해도 소용없다. 아웃룩의 ‘규칙 및 알림’을 이용하면 어느 정도 필터링 할 수 있다. [도구]-[규칙 및 알림] 항목에서 ‘새 규칙 ‘-’ 제목에 특정 단어가 있는 메시지를 폴더로 이동’해 지정 단어와 지정 폴더를 선택하면 스팸메일을 정크 메일 함으로 바로 보낼 수 있다.

제목은 주로 my photo, new photo, my new photo, Hola my photo 식으로 교묘하게 바뀌어 오므로 공통되는 규칙을 찾아 지정 단어로 등록하면 어느 정도 피해를 막을 수 있을 것으로 보인다.

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>