“연말, 누군가 해외직구족 PC 노린다”

안랩-하우리, 나란히 메일첨부 악성코드 유포사례 경고

컴퓨팅입력 :2016/12/11 10:40    수정: 2016/12/12 10:52

연말을 맞아 낯선 메일의 첨부파일을 열어보는 데 더욱 주의를 기울여야겠다. 사용자 컴퓨터에 저장된 데이터를 인질삼아 금품을 요구하는 '랜섬웨어'의 전달 수단일 가능성이 높기 때문이다.

최근 국내 보안업체를 통해 배송안내를 기다리는 해외직구족을 노려 전자상거래업체를 사칭한 사례가 발견됐고, 연말연시 발신인이 불분명한 행사 안내 및 감사장 형태를 띠고 랜섬웨어가 유포될 수 있다는 경고도 나왔다.

MBR 감염형 랜섬웨어 '골든아이' 감염 컴퓨터가 부팅시 출력하는 화면. 보안업체 하우리는 연말연시 불특정 발신자로부터 유포되는 메일이 많아지면서 이런 랜섬웨어 유포 시도에 더 주의를 기울여야 한다고 당부했다.

■안랩 "직구 배송안내 메일, 무심코 열면 랜섬웨어 피해 위험"

국외 전자상거래업체의 물품배송 안내 메일을 가장한 랜섬웨어 유포 시도가 발견됐다. 연말 '블랙프라이데이'나 '크리스마스세일'같은 할인행사기간을 맞아 국외 사이트에서 물품을 구매한 소비자들의 주의가 필요하다.

9일 안랩(대표 권치중)은 최근 유명 온라인쇼핑몰을 사칭한 스팸메일로 '록키(Locky)' 변종 랜섬웨어에 감염을 유도하는 악성코드가 유포된 사례를 발견했다며 주의를 당부했다. 메일은 본문에 물품 발송, 반품, 교환 관련 내용이 상세히 담겨 있어 사용자가 의심하지 않도록 가장하고 있다는 설명이다.

안랩이 랜섬웨어 감염유도 악성코드 유포 사례로 제시한 국외 온라인 쇼핑몰 사칭 메일.

악성코드는 자바스크립트(.js)를 압축한 파일(.zip)을 물품배송 안내로 위장한 메일에 첨부한 형태로 불특정 다수에게 유포됐다. 첨부파일을 열어 자바스크립트 파일을 실행하면 랜섬웨어에 감염된다. 이후 사용자 PC에서 감염 안내 문구를 띄우며 주요 파일을 암호화한다.

안랩 박태환 ASEC대응팀장은 "최근 블랙 프라이데이, 크리스마스, 박싱데이 등 시즌 특수를 노려 다양한 형태로 랜섬웨어가 대량 유포될 수 있다"며 "평소 송신자가 불분명한 메일의 첨부파일 실행에 주의를 기울여야 한다"고 말했다.

안랩 측은 랜섬웨어 피해 예방을 위해 스팸성 메일 첨부파일 실행을 자제하고, 중요 파일을 별도 백업하며, OS 및 사용 프로그램을 업데이트하고, 수상한 웹사이트 방문을 자제하는 등의 기본 보안수칙을 실천해야 한다고 덧붙였다.

■하우리 "문서파일 매크로 형태로 부팅 못하게 만드는 랜섬웨어 유포"

이메일 첨부파일을 통해 유포되고 있다는 랜섬웨어는 또 있다. 저장장치에서 컴퓨터가 부팅할 때마다 읽어들이는 마스터부트레코드(MBR) 영역 데이터를 감염시켜 제대로 부팅할 수 없게 만드는 '골든아이(GoldenEye)' 사례다.

9일 하우리(대표 김희천)는 이메일 첨부파일을 통해 골든아이가 유포되고 있어 주의가 필요하다고 당부했다.

골든아이 랜섬웨어를 감염시키는 이메일의 첨부파일로 전달된 악성 매크로가 포함된 엑셀 문서.

골든아이 랜섬웨어는 이메일에 첨부된 악성 문서파일 매크로를 통해 감염된다. 감염된 컴퓨터는 MBR 코드가 변조돼 정상 부팅이 안 된다. 감염된 컴퓨터는 이후 악성코드에 의해 재부팅하게 되는데, 노란 해골모양으로 그려진 감염 안내 화면과 복호화 키 비용 요구를 표시한다.

관련기사

골든아이는 과거 발견된 MBR 감염형 랜섬웨어 '펫야(PETYA)'와 유사한 형태다. 원본 MBR 부트 코드를 XOR 연산으로 변조해 MBR 영역 특정 주소에 저장하므로 복구는 가능하지만, 정상적으로 부팅이 안되는 상황에서 사용자들이 치료하기 어려울 수 있다는 게 하우리 보안분석팀 최민주 연구원 설명이다.

하우리 측은 기본 보안수칙을 지키고 백신을 최신 상태로 업데이트할 것을 당부했다. 분주한 연말연시 분위기를 이용해 발신인이 불분명한 감사, 행사 및 모임안내 메일이 발송되고 있기 때문에 무심코 수상한 메일의 첨부파일을 열어 볼 위험이 높다는 지적이다.