‘의심스러운 메일’ 어떻게 알 수 있을까?

‘의심스러운 메일’ 어떻게 알 수 있을까?

- AhnLab 보안정보  2016년 6월 15일 -

악성코드 감염 예방을 위한 '보안 수칙’에는 항상 '의심스러운 메일을 주의하라'는 내용이 등장한다. 

하지만 무엇이 의심스러운 메일인지 확인하는 방법을 모르는데 어떻게 주의한단 말인가?

악성코드 감염 예방을 위한 보안 수칙에서 항상 빠지지 않는 내용이 있다. ‘메일을 읽을 때 주의하라’는 것. 이메일을 통해 악성코드가 퍼진다는 것도 많이 들었지만, 이메일 중 어떤 메일을, 어떻게 주의해야 하는지 난감하게 느껴진다. 

이메일은 개인적으로 사용하는 것 외에도 직장이나 단체에서 어떤 내용을 공유하거나, 요청할 목적으로 많이 사용된다. 악성코드를 만들어 유포하는 공격자 역시 이런 메일의 특성을 악용한다. 공격자가 업무 관련 메일이나 안부를 묻는 지인으로 위장하여 악성코드가 포함된 첨부파일이 있는 이메일을 보냈다면 어떻게 해야 할까? 이런 메일의 첨부파일을 실행해 악성코드에 감염되는 사례가 매우 빈번하게 발생하고 있다. 

안전하게 이메일을 이용하기 위한 기본적인 방법부터 점검해보자. ▲메일 보낸 사람 확인 ▲첨부파일의 확장자 확인 ▲첨부파일의 매크로 포함 여부 확인 ▲가급적 메일 본문에 포함된 링크 클릭하지 않기 등만 주의해도 훨씬 안전한 메일 이용이 가능해진다. 

다음은 최근 발견된 악성코드가 첨부된 메일이다. 

▲ [그림 1] 악성코드가 첨부된 메일

[그림 1]의 메일의 여러 곳에서 ‘attached’라는 단어가 공통적으로 보인다. 이는 수신자가 첨부된 악성코드를 실행하도록 유도하기 위한 것이다. 최근 유포된 메일의 첨부파일은 일반적으로 압축파일의 형태로 문서파일의 형태(doc, docm, xlsx 등)도 확인된다.

▲ [그림 2] 첨부 파일 (압축 파일 및 압출 해제 파일)

첨부파일 중 일부인 ‘employees -321-.js’를 확인해보면, 분석하기 어렵도록 난독화 되어 있다. 난독화를 풀면 특정 URL 및 악성코드를 다운로드하는 코드가 확인된다. 

해당 .js 파일을 실행하면 실질적인 악성 행위를 하는 파일이 다운로드되는데, 이 파일을 확인한 결과 록키(Locky) 랜섬웨어로 확인됐다. 분석 당시에는 이 악성코드가 시도하는 네트워크 연결이 이루어지지 않았으나, 본래 의도대로 C&C 서버에 연결되면 PC의 파일을 암호화할 것으로 보인다.

그럼 이제 이메일 이용 시 주의 사항을 좀 더 상세히 살펴보자. 다음의내용을 실천한다면 악성코드 감염 위험은 휠씬 낮아질 것이다.

이메일 첨부파일의 숨겨진 확장자도 확인해야…

먼저 메일을 보낸 사람부터 확인한다. 모르는 사람으로부터 수신된 메일과 불특정 다수를 대상으로 작성된 메일은 일단 안전하지 않을 가능성이 높다. 보낸 사람 이름뿐만 아니라 이메일 주소를 끝까지 꼼꼼히 확인하자. 

다음은 첨부파일의 확장자를 살펴본다. 첨부파일이 일반적인 업무에서 필요하지 않은 확장자(js, scr등)는 아닌지 확인하는 것이다. 바로 확장자가 보이지 않는다면 Widows의 폴더 옵션 중 ‘알려진 파일 형식의 파일 확장명 숨기기’의 설정을 해제해 확인한다. 

첨부파일이 익숙한 문서 파일(doc, docm, xls, xlsx 등)이라고 해서 안심하긴 이르다. 파일에 매크로가 사용됐을 경우 악성코드 여부를 확인해야 한다. 최근 매크로가 포함된 악성코드가 발견됐기 때문이다(시큐리티레터 623호 보안포커스 ☞ 매크로 포함된 첨부 파일, 주의!). 사용하는 MS Office에서 매크로 사용 설정을 ‘모든 매크로 제외(알림 설정)’로 하면 필요한 매크로만 실행된다.

마지막으로 메일 본문에 포함된 링크는 가급적 접속하지 않도록 한다. 사용자의 의심을 피하기 위해 첨부파일 대신 악성코드를 다운로드하는 웹 페이지로 연결되는 링크를 이용하는 공격도 자주 발생하고 있기 때문이다. 

악성코드를 유포하는 대표적인 수단이 이메일인 것은 분명하다. 그러나 악성코드에 감염되는 경로는 이메일만이 아니다. 악성코드 감염 경로는 다양하고 악성코드 유포 방식 또한 나날이 교묘해지고 있다. 따라서 악성코드 감염 피해를 예방하기 위해 평소 보안 수칙을 알아두고 실천하도록 하자. 

<악성코드 감염 예방을 위한 기본 보안 수칙>

1. 백신 소프트웨어를 설치하고, 엔진 버전을 항상 최신 버전으로 유지한다.

2. 운영체제(OS), 브라우저 및 주요 애플리케이션의 최신 보안 업데이트를 적용한다. 

3. 발신자가 명확하지 않은 이메일에 포함된 의심스러운 파일을 열어보거나 본문에 포함된 의심스러운 링크를 클릭하는 것은 피한다.

4. 보안이 취약한 웹사이트 방문은 자제한다. 

5. 파일은 백신으로 검사한 후 실행한다.​

- AhnLab  ASEC 대응팀 -

<출처 : http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=25123>