최근 인터넷 사용자들의 불특정 다수를 대상으로 하여 마치 정상적인 E-Mail 내용처럼 교묘하게 내용을 위장시킨 악성 파일이 지속적으로 발견되고 있어, 인터넷 사용자들은 이러한 악의적인 이메일에 현혹되지 않도록 각별한 주의와 관심이 요구된다. 악성 파일들 중에는 사용자의 컴퓨터를 원격 제어하거나 또 다른 신·변종 악성 파일의 전파 매개체로 악용하는 사례도 많기 때문에 감염 시 크고 작은 피해 를 입을 수 있다는 점을 간과해서는 안된다.  
 
일반적으로 이메일을 매개체로 한 악성 파일 전파 방식은 매우 고전적이라고 할 수 있지만, 아직까지도 악성 파일 유포자들에게는 지속적으로 악용되고 있는 기법 중에 하나이다. 그 이유는 불특정 다수에서 전파할 때도 유용하며 은밀한 타겟 공격형 등에도 매우 효과가 높은 방식이기 때문이다.
 
지금도 많은 인터넷 사용자들에게 이메일은 매우 친숙하며, 수시로 사용하는 주요 인터넷 활동 중에 하나이기 때문에 공격자나 사용자 입장에서 보안 사각지대로 전락될 가능성이 많은 이유이다.
 
◇전파 방식 사례
이메일을 매개체로 전파되는 악성 파일들은 대체로 정상적인 내용처럼 조작되거나 위장시킨 방식이 가장 많이 유행한다. 특히, 영문 내용으로 제작된 것들이 주류이지만, 간혹 국내 특정 기관이나 이용자들을 공격 대상으로 지정한 경우 한글 내용으로 작성되어 발견되는 경우도 종종 있다.
 
한글 문서(HWP)취약점을 이용한 악성파일 발견
http://erteam.nprotect.com/176
 
신용카드 허위 정지 내용으로 전파 중인 악성 이메일
http://erteam.nprotect.com/182
 
해외 호텔 예약 관련 악성 이메일 유포
http://erteam.nprotect.com/183
 
이메일 형태로 위장한 악성파일 유포 기승
http://erteam.nprotect.com/161
 
미국 연방수사국(FBI)에서 보낸 내용으로 위장된 악성파일
http://erteam.nprotect.com/153
 
◇물품 배달 서비스 내용으로 위장한 형태
전세계적으로 유명한 미국의 물류회사 배송 문서처럼 위장된 형태로, UPS(United Parcel Service) 외에 Fedex, DHL 등으로 조작된 경우가 다수 존재한다.
 
아래 화면은 실제 UPS 와 관련된 문서 파일처럼 조작된 악성 파일 전파 메일로 ZIP 압축 파일 내부에 악성 파일이 포함되어 있고, 수신자가 해당 파일을 실행할 경우 감염이 이루어지게 된다.

 
◇스캔 사진 파일 위장한 형태
다음은 특정 복합기 등으로 스캔한 이미지나 사진 파일 등으로 위장한 형태로 유포되는 방식이다. 일반적으로 많은 사람들이 사진 파일 등에 특히 더 관심을 가지고 쉽게 열어보게 될 가능성이 높아서 사진 파일을 첨부한 것과 같이 현혹시키는 방식이 있다.

 
◇국제 전자 결제 내용 등으로 위장한 형태
ACH Payment 나 Western Union Payment 등 국제 송금 서비스나 전자 결제 시스템 내역 등으로 위장한 형태의 이메일의 경우는 좀더 많은 이용자들에게 사회공학적인 관심을 갖도록 만들고 악성 파일에 좀더 쉽게 노출되도록 유도한다.
 
다음은 ACH Payment 내용처럼 위장한 악성 파일 전파용 이메일의 본문 사례이며, 변종에 따라서 다양한 내용으로 조작된다.

 
위에서 언급한 3가지 사례들은 이메일을 매개체로 한 악성 파일들의 내용 중 소수로 대부분 사용자들에게 흥미를 유발시키고 첨부된 악성 (압축)파일이나 본문에 포함된 악성 URL Link 등을 클릭하도록 유도하는 것들이 대표적이라 할 수 있다.
 
자신이 이용하고 있지 않은 서비스 내용으로 이메일을 수신한다거나, 지인이 보낸 이메일 일지라도 첨부되어 있는 문서나 실행 파일이 있거나 특정 주소 클릭을 유도할 경우에는 세심한 주의와 관심이 필요한 이유이다.
 
◇예방 조치 방법
 
악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차이다. 이와 같이 원하지 않는 감염 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
 
◇보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 위와 같은 악성파일에 대해 신종 및 변종 모두 진단/치료가 가능한 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
 
잉카인터넷(시큐리티대응센터/대응팀)에서는 이번에 발견된 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 유사한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
 
◇진단 현황
- Trojan-Downloader/W32.Small.29184.BG
- Trojan-Downloader/W32.FraudLoad.29696.K
- Backdoor/W32.Agobot.42496
[잉카인터넷 Nprotect 대응팀 공식블로그]