검색엔진·SNS·키로거·메일계정 해킹 등으로 정보수집해 2차 범죄 

[보안뉴스 김경애] 하루에도 수십 통씩 받아보는 이메일 속에 악성코드를 넣어 메일 수신자를 공격하는 이메일 해킹 공격이 기승을 부리고 있다. 메일 관리자로 속여 회원정보 변경을 유도하거나 기관명의 등을 도용해 악성메일을 유포하거나 메일의 첨부파일에 악성코드를 심은 후 열람하도록 유도하는 등 메일이 사이버범죄에 악용되고 있는 것이다.

신뢰할 수 있는 기관이나 사람 도용해 이용자 노려

이러한 악성 메일 공격은 수신자가 열어보도록 사람의 심리를 이용하는 것이 특징이다. 어떤 악성 메일이라도 결국 수신자가 열어봐야 악성코드에 감염될 수 있기 때문이다.

이와 관련 스틸리언 박찬암 대표는 “해킹 범죄의 경우 공격기술을 고도화하는 것보다 사회공학적 수법이 성공가능성이 더 높다”고 강조했다. 그만큼 사람의 심리를 악용하는 해킹 공격이 한수 높은 공격이라고 할 수 있다는 것. 

그렇다면 공격자는 어떤 사회공학적 기법으로 메일 수신자를 노리는 것일까? 첫 번째로 공격자는 수신자가 의심하지 않도록 안심할 수 있는 문구를 사용하거나 관리자 등 신뢰할 수 있는 사람의 명의를 도용한다. 이를테면 메일 관리자로 사칭해 회원정보 변경을 유도하는 방식이다. 

공격자가 특정기관이나 기업을 타깃으로 악성 메일을 보내는 경우에는 실제 상위 조직의 담당자 이름이나 해당 조직의 관계자 이름을 도용한다. 메일 내용에는 해당 직무나 연관업무 내용을 넣는 등 이용자가 메일을 열어볼 수 있게 유도한다. 이러한 명의 도용은 공격자가 많이 활용하는 수법 중 하나다.

첨부파일을 열어보도록 유도하는 악성 메일 역시 첨부파일을 열어 PC에 악성코드를 감염시키기 위해 메일 수신자의 흥미를 극대화시키는 전략을 쓴다. 이는 수신자가 어떤 분야에 종사하고 있는지, 관심분야가 무엇인지 등을 공격자가 사전에 파악한 후 흥미를 유도하는 첨부파일명으로 메일을 발송하게 된다.

최근 외교, 안보 분야 관련자 타깃으로 악성 메일 유포  

특히, 최근에는 해외공관 주재관 등 외교, 안보 분야 관계자 등을 대상으로 한 이메일 해킹 시도가 급증하고 있다. 공격자는 주로 상용 이메일을 이용하며, 정부내 주요인사 실명 또는 지인 등을 사칭해 업무관련 메일로 위장하고 있다.

이렇게 발송된 악성 메일을 수신자가 읽으면 수신자 PC는 순식간에 악성코드에 감염된다. 악성코드에 감염된 인터넷 PC에 USB 등 외장저장장치를 사용할 경우에는 보관자료가 전량 유출되는 피해가 발생하기도 한다. 이러한 악성 메일은 시스템을 파괴하거나 자료 및 개인정보를 유출하는 등 피해를 확산시킨다.

악성 메일 프로파일링

그렇다면 공격자는 어떻게 신뢰할만한 기관이나 사람들을 사칭할 수 있었을까? 타깃으로 삼는 대상의 인간관계를 공격자는 장기간 분석하게 된다. 그 방법으로는 △검색 엔진 △페이스북이나 트위터 등의 SNS △키로거 △무료 메일에 타인 명의 도용 △위장가입 △유관기관 직원이나 공격대상자 친지의 메일계정 해킹 △메일헤더 조작 △메일내용 통해 지인 가장 △이미 침입한 PC에 저장되어 있는 이메일을 분석해 파악하는 방법 등을 다양하게 사용한다.

한국정보보호학회에서 발간한 ‘사례기반추론기법을 적용한 해킹메일 프로파일링’ 논문에 따르면 메일 관리자로 수신자를 속여 회원정보 변경을 유도하는 악성 메일의 경우, 메일 수신자가 로그인 화면에서 다시 ID와 비밀번호를 입력하면 해킹 경유지로 접속해 ID와 비밀번호를 유출하는 것으로 분석됐다.

이는 공격자가 메일관리자로 속인 다음, 사용자가 아이디와 패스워드를 입력하도록 함으로써 계정을 유출하는 링크 URL 포함형 악성 메일이기 때문이다. 발송자명은 국내 포털사 서버지만 수신자 계정이 저장되는 서버는 추적이 어려운 미국의 무료 호스팅 업체를 사용하는 것으로 드러났다. 이러한 악성 메일이 증가하는 이유는 렌탈 서버나 프리 이메일 등 개인을 특정하기 어려운 환경이 조성되고 있기 때문이기도 하다.  

이로 인해 수신자 입장에서는 악성 메일을 판별하기가 쉽지 않다. 따라서 사용자는 출처를 알수 없는 메일이나 모르는 사람에게 온 메일은 물론 아는 사람 이름으로 메일이 와도 꼼꼼히 살펴볼 필요가 있다.

이를테면 아웃룩의 경우 의심스러운 메일에 마우스를 갖다 놓고, 마우스 오른쪽 버튼을 클릭하면 ‘메시지 옵션’ 창이 뜬다. 그 창 맨 아래 인터넷 머릿글(메일헤더) 내용을 자세히 들여다보면 메시지 발송 날짜 및 시간 등의 정보가 나열되어 있다.

이때 데이터 정보에서 ‘+0900’은 타임존을 의미하는데, +9는 국내에서 발송된 것이며, +8인 경우 중국, 러시아, 몽골, 말레이시아, 오스트레일리아 등의 지역으로 적어도 국내에서 발송된 메일이 아니라는 사실을 알 수 있다. 악성 메일은 발신처가 실제 미국이나 제3국인 경우가 많기 때문이다.

이와 함께 X-Original-MAILFROM에서는 메일을 발송한 송신자의 실제 메일주소를 확인할 수 있다. 또한, X-Originating-IP는 실제 메일을 발송한 송신자 PC의 IP 정보를 알 수 있으며, X-Mailer에서는 발송 메일의 제품명과 버전도 확인 가능하다. 이렇듯 메일 헤더를 통해 메일 송신자의 세부정보를 알 수 있는 셈이다.

따라서 이용자는 메일을 수신하기 전 의심스러운 메일은 가급적 열어보지 않거나 꼼꼼히 확인하는 습관이 중요하다. 또한, 백신은 항상 최신 버전으로 업데이트해야 한다. 백신 업데이트만 잘해도 악성 메일이 어느 정도 차단되거나 제거될 수 있기 때문이다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>