스팸 메일의 위험성

스팸(Spam) 이란 전자 우편, 게시판, 문자 메시지, 전화, 인터넷 포털 사이트의 쪽지 기능 등을 통해 불특정 다수의 사람들에게 보내는 광고성 편지 또는 메시지를 말한다. (Wikipedia 참고)

지금 우리는 선택사항이 아닌 필수사항이 되어버린 것처럼 원하지도 않는 스팸메일을 받아보고 있다.
스팸메일은 일반적으로 불특정 다수에게 특정 광고를 노출함으로써 수익을 얻기 위해 사용된다. 또 특정 타켓 서버나 특정 네트워크를 공격하기 위한 목적의 DDoS 공격으로 이용되거나, 다른 악성코드 감염을 유도하는 용도로도 많이 사용된다.

7.7 분산서비스거부(DDoS) 공격을 유발한 악성코드가 스팸메일과 웹사이트를 통해 전파되었다는 내용은 이미 많이 알려진 사실이다. 이렇듯 공격자가 피해자를 공격하기 위한 하나의 도구로 스팸메일을 사용하고 있다. 또 공격자는 금전적인 이득이라는 뚜렷한 목적을 가지고 있기 때문에 사용자는 더 많은 위험에 노출되게 되었다.

1. 악성코드 유포에 많이 사용되고 있는 사회 공학적 공격 방법중 E-mail을 이용한 악성코드 유포 사례에 대해 살펴보면 스팸봇을 이용하고 소셜 네트워크 서비스로 위장, 국제적/사회적 이슈등으로 위장하는 사례가 많이 사용되고 있다.

ㄱ. 전세계 스팸메일의 80~90%는 스팸봇을 통해 배포되고 있다는 업체 통계가 있다.

스팸봇(SpamBot)은 웹 게시판 등을 통하여 E-mail 주소를 수집하고, 구글, 야후등과 같은 웹메일 서비스 업체에 E-mail 계정을 자동으로 개설하여 불특정 다수에게 스팸메일을 발송한다. 이때 스팸봇은 단순 광고 목적뿐만 아니라 개인정보 유출 등의 악의적인 목적을 가진 스팸메일을 발송한다.

[ 그림 1 ] 스팸봇(Rustock, Zbot)에 의해 발송된 스팸메일

ㄴ. 트위터, 페이스북, 마이페이스 같은 소셜 네트워크 서비스(Social Network Service) 사용자들을 겨냥한 악성코드가 급증하고 있다. 소셜 네트워크 서비스 공식 메일과 유사한 이미지를 이용하며 암호 설정 변경, 계정 업데이트 등의 제목으로 피싱 메일을 발송하여 사용자가 해당 메일을 열어보도록 유도하고, 교묘하게 사용자를 속여 사용자들의 개인정보 얻으려고 하고 있다.

사용자가 소셜 네트워크 서비스 사이트의 개인정보 설정을 변경하기 위해 스팸메일 상의 링크를 클릭하면 소셜 네트워크 서비스 사이트와 유사한 피싱 사이트로 이동하여 사용자의 개인정보 변경을 요구하는 화면을 출력하여 사용자가 로그인시 사용자의 계정정보(ID, Password)가 노출되게 된다.

[ 그림 2 ] 소셜 네트워크 서비스(Social Network Service) 겨냥한 피싱메일

웹사이트 접속시 항상 화면에 출력된 이미지만 확인하여 해당 홈페이지라고 판단하지 말고, 주소표시줄에 나타난 주소가 정상 홈페이지 주소와 동일한지 여부등을 반드시 확인하여야 한다. 또 일반적으로 계정정보 변경 관련 메일은 사용자에게 발송되지 않기 때문에 해당 메일을 받았을 경우에는 메일에 있는 링크를 통해 해당 사이트로 접근하지 말고 사용자가 직접 주소를 입력하는 것이 안전하다.

ㄷ. 사회적/국제적 이슈, 윈도우 업데이트, 해외 유명 인터넷 기업, 백신업체 등을 사칭한 E-mail 제목으로 위장한 스팸메일들이 다른 악성코드들과 함께 지속적으로 유포 되고 있다. 예를 들어 베이징 올림픽, 지진, 화산폭발, CNN뉴스, 유명 메신저, 물건 주문, 유명 연예인 관련내용(마이클 잭슨 사망) 등과 같은 이슈들에 관한 메일 제목등이 많이 사용되고 있다.

[ 그림 3 ] 국제적 이슈 및 해외 유명기업을 위장하여 악성코드 유포

더 많은 사용자가 스팸메일을 열어보도록 유도하기 위해 ‘제목없음’ `메일수신 실패'라는 다양한 메일제목등의 사회 공학적 방법을 이용하여 정보변경을 유도하는 스팸메일이 꾸준하게 나오고 있기 때문에 사용자의 각별한 주의가 필요하다. 사용자가 모르는 사람의 메일이라면 가급적 열어보지 말고 삭제하는 것이 보다 안전하다.

현재 바이로봇에서 진단하고 있는 스팸메일 발송 관련 대표적인 악성코드 진단명은 아래와 같다.
Trojan.Win32.Bredolab
Trojan.Win32.Rustock
Trojan.Win32.Waledac
Trojan.Win32.Zbot

2. 악성코드가 숨겨진 스팸메일을 열어보거나, 백신으로 확인하지 않고 첨부 파일등을 실행하여 악성코드에 감염되는 경우 다음과 같은 악성행위가 이루어 질 수 있다.

ㄱ. 외산 허위 백신을 설치하여 사용자에게 허위 감염정보를 출력하고, 악성행위를 하여 사용자 결제등을 유도하고, 결제시 사용자 정보를 획득한다.

Antivirus2009, Antivirus 2010 등과 같이 매년 이슈 되었던 대표적인 허위백신들은 스팸메일을 발송하는 악성코드와 함께 지속적으로 사용자 PC를 감염 시키고 있다. 그리고 허위 백신명과 UI(User Interface)만 변경된 해외 허위백신은 꾸준하게 발견되고 있다.

ㄴ. 특정 사이트에 가입을 권유하는 메일을 발송자의 의사와는 관계없이 발송자에게 등록된 다른 사람의 E-mail계정에 자동으로 초청메일을 발송하여 사용자에게 불편을 초래하는 경우도 존재한다.

[ 그림 4 ] 발송자의 의사와 관계없이 특정 사이트 가입권유 초청메일

ㄷ. 사용자 정보를 가로채기 위한 키로그 등의 다른 악성코드를 설치하여 사용자의 은행 계정 정보등을 탈취하여 금전적이 이득을 얻으려고 한다. 인터넷 뱅킹시 비밀번호나 보안카드값의 경우 *로 표시되어 사용자가 안전하다고 생각할지 모르지만, 다른 악성코드가 설치되었을 경우 해당 *값을 원래 숫자로 변환하여 보여주는.프로그램등을 이용하여 공격자가 원하는 정보를 얻을 수도 있다. 보통 사용자의 키보드 입력정보를 파일로 저장하여 공격자 메일로 전송하는 방법등을 주로 사용하지만, 요즘은 사용자의 화면 전체를 모니터링 하면서 공격자가 설치한 프로그램등을 이용하여 사용자의 은행 계정 정보등을 획득하기도 한다.

이와 같은 악성코드에 대처하기 위해서는 E-mail에 첨부되어 있는 파일은 반드시 백신으로 확인하고 실행하는 습관이 필요하다.

국내 광고성 메일은 주로 성인 컨텐츠 관련내용과 도박, 대출등의 내용이 대부분이고 메일을 열어보거나 사용자가 수동으로 링크 또는 이미지를 클릭시 광고 팝업을 지속적으로 출력하여 사용자에게 불편함을 초래하기도 한다.

국내 사용자의 경우는 메일 제목이 한글이 아닌 경우 잘 열어보지 않거나, 국내 포털사이트 메일계정을 많이 이용하기 때문에 해외 스팸메일에 노출될 가능성을 다소 줄어들 수 있다. 하지만 최근 발견된 해외 허위 백신이나 스팸메일처럼 한글을 사용하거나, 사용자의 호기심을 자극하는 내용, 주변사람을 가장한 친구초대, 사회적/국제적인 이슈 등 사용자가 관심을 가질만한 흥미로운 메일제목으로 보낸 광고성 메일에 노출될 가능성이 높다.

3. E-mail 악성코드를 예방하는 방법은 다음과 같다.

ㄱ. 모르는 사람이 보낸 메일은 가급적 열지 말고 삭제한다.
ㄴ. E-mail 첨부 파일은 최신 엔진의 백신으로 검사한 후 실행한다.
ㄷ. E-mail에 존재하는 의심스런 웹사이트 링크는 확인한 후 클릭한다.
ㄹ. 안티 스팸 솔루션을 설치하여 스팸 및 악의적인 E-mail의 수신을 최소화한다.
ㅁ. 백신을 설치하고 실시간 감시 기능을 사용한다.
ㅂ. 운영체제(Windows등) 및 응용프로그램(Internet Explorer, Adobe Flash Player, Acrobat Reader, MS-Office등)의 보안 패치를 항상 최신으로 유지한다.

스팸메일 발견시 웹메일 서비스를 제공하는 업체 또는 한국정보보호진흥원(KISA)에 신고하면 해당 스팸메일로 인한 다른 사람들의 피해를 줄일 수 있기 때문에 사용자들의 적극적인 신고가 필요하다.

출처: (주)하우리 기술연구소 보안대응센터 코드분석2팀 주임연구원 박현민