최근 며칠 동안 페이스북(Facebook)에서 발송한 이메일처럼 교묘하게 조작되어 전파 중인 악성파일이 다수 발견돼 페이스북 이용자들의 주의가 요구된다.
 
잉카인터넷 대응팀 관계자는 “페이스북은 많은 사용자들을 보유한 서비스이기 때문에 그 만큼 더 많은 보안위협에 꾸준히 표적이 되고 있다”며 “페이스북 사용자들은 이런 보안정보를 충분히 숙지하고 유사한 형태의 이메일을 수신할 경우 첨부파일이나 본문에 포함되어 있는 URL링크 주소를 무의식적으로 클릭하지 않는 보안습관이 중요하다”고 강조했다.
 
더불어 “이처럼 사회적인 관심사나 중요 이슈를 역이용하여 악성파일 전파에 악용하는 이른바 사회공학기법이 끊이지 않고 있다는 점도 명심해 사전에 악성파일이 유입되는 통로를 인지하고 방어하는 노력이 필요하다”고 덧붙였다.  
 
트위터나 페이스북에서 발송한 것처럼 모방한 형태의 사기성 이메일은 잊을 만하면 다시 등장하는 수법 중에 하나이다. 매우 고전적인 방식이지만 아직까지도 많은 사용자들에게 악성파일을 쉽게 전파시킬 수 있는 효력을 가지고 있다는 것을 반증하기도 한다.
 
먼저 2012년 08월 28일 해외에서 보고된 형태는 아래와 같고, 국내에 유입된 것이 확인되지는 않았지만, 보통 이런 형태는 불특정 다수의 사용자들에게 스팸메일처럼 무작위로 발송되는 경우가 많기 때문에 국내와 국외를 구분지어 의미를 부여하는 것은 사실 큰 의미는 없다.
 
악성파일을 제작하고 전파하는 조직들은 예전과 다르게 매우 지능화되어 있다. 예전에는 고정적이거나 동일한 패턴의 이메일이 전파에 사용되었지만 근래에는 이메일 형태가 매우 다양하게 설계되어 동시에 전파되고 있기 때문에 유사한 형태에 대한 대비가 필요하다.
 
아래 이미지는 2012년 08월 29일에 해외에서 발견된 동일한 보안위협 형태로 디자인이나 문구 등이 변경된 것을 비교해 볼 수 있다.
 
또한 특징적으로 수신자의 이메일 주소가 보이지 않도록 조작하여 불특정 다수의 수신자들이 각기 다른 이메일 주소로 표기되어 오히려 수신자가 의심할 수 있는 경우가 발생하지 않도록 만들었다.

 
각각의 이메일에는 악성파일이 ZIP 형태로 압축되어 첨부되어 있고, 파일명은 "New_Photo_with_You_on_Facebook_PHOTOIDJKG3JSP0.zip", "Your_Friend_New_photos-updates_id929690899.zip" 처럼 조금씩 다르다.
 
압축파일명은 수신자가 관심을 가질 수 있도록 친구의 사진파일처럼 꾸며져 있고, 압축파일 내부에는 실행파일 형태의 악성파일이 포함되어 있다.
 
압축이 해제되면 "New_Photo_with_your_friend_on_Facebook.jpeg.exe", "Your_Friend_New_Photos-and-Updates.jpeg.exe" 등의 EXE 파일이 포함되어 있고, 폴더옵션에서 "확장명 보이지 않기"를 설정한 사용자들에게는 JPEG라는 사진파일처럼 보이도록 하기 위해서 2중 확장명을 사용하고 있다. 또한, 악성파일은 각각 다른 아이콘을 사용하는 등 변종에 따라 다양한 특성을 가지도록 제작되어 있다.
 
악성파일이 실행되면 "All Users" 경로에 "svchost.exe" 파일명으로 복사본을 생성하고, 공격자 명령이나 변종에 따른 기능에 따라서 사용자 정보 수집 및 유출 등의 일반적인 악의적 기능을 수행할 수 있다.
 
잉카인터넷 대응팀은 “이메일의 첨부파일을 통한 악성파일 전파수법은 매우 오래된 구식적인 방식이지만, 아직도 많은 이용자들이 아무 의심없이 이러한 악성파일을 너무나 쉽게 열어보고 있다”며 “그로인해 각종 보안위협에 노출되는 피해가 반복되고 있는 것이다. 그래서 악성파일 제작자들도 끊임없이 이메일 첨부파일 전파 수법을 공격방식으로 꾸준히 사용하는 이유이기도 하다”고 설명했다.
 
피해 예방을 위해 “사용자 스스로 보안의식을 가지는 것이 매우 중요하며, 수신된 첨부파일이나 본문에 포함된 URL 링크 주소에 잠재적 보안위협이 포함되어 있을 수도 있다는 의심과 악성파일 검사 정도는 한번 쯤 꼭하고 열람하는 습관이 필요하다”고 권고했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com