[CIOCISO매거진 김진석 기자] 안랩이 이메일을 이용한 악성코드 유포 시도가 '상호 소통형'과 '업무 요청형' 등 지능적 수법으로 진화하고 있다고 3일 밝혔다.

이 수법을 이용하는 해커는 사용자에게 의견을 요청하는 이메일을 악성 코드가 없는 상태로 먼저 보낸다. 사용자의 답변을 받아 그 내용에 따라 악성 파일 다운로드 URL을 포함한 답장을 보낼지 여부를 결정하는 수법이다.

첫 메일은 '전문가의 의견을 수렴해 보고서를 작성하고 있다. 일정상 불가하시더라도 꼭 회신해달라'는 등 내용으로 사용자의 답변을 유도한다.

이후 해커는 메일을 받은 사용자의 답변 내용에 따라 각기 다른 내용으로 회신을 보냈다.

해커는 사용자가 요청에 응하면 '자문요청서.docx'라는 제목의 악성 문서파일을 보냈다.

그러나 사용자가 요청에 거절 의사를 밝힐 경우 해커는 '번거롭게 해드려 죄송하다'는 내용의 답장을 한 뒤 공격을 종료했다.

'업무 요청형' 피싱 메일은 먼저 특정 제조회사를 사칭한 메일을 보내고, 본문에 제품 제작 요청과 함께 '첨부파일을 확인해달라'라는 문구로 파일 실행을 유도하는 수법이다.

피해자가 이를 실행하면 포털 '다음'의 실제 로그인 페이지와 유사하게 제작된 가짜 사이트로 연결됐다.

피해자가 여기서 계정정보를 입력하고 로그인 버튼을 누르면 악성코드가 실행돼 해커에게 즉시 해당 정보가 전송된다.

안랩은 이들 메일로 인한 피해를 예방하려면 ▲ 이메일 발신자 등 출처 확인 ▲ 의심스러운 메일 내 첨부파일 및 URL 실행 금지 ▲ V3 등 백신 프로그램 최신버전 유지 및 피싱 사이트 차단 기능 활성화 등 기본 보안수칙을 준수해야 한다고 당부했다.

김건우 안랩 시큐리티대응센터(ASEC)장은 "메일을 활용한 악성코드 유포나 계정정보 탈취 시도는 오래전부터 꾸준히 등장하는 공격 수법"이라며 "최근에는 그 수법이 더욱 고도화돼 출처가 불분명한 메일 속 URL과 첨부파일 실행은 최대한 자제해야 하는 등 보안수칙을 생활화해야 한다"고 강조했다.