시만텍(www.symantec.co.kr)이 2010년 8월 한 달 간 전세계 스팸 및 피싱 동향을 조사 분석한 ‘시만텍 월간 스팸 및 피싱 현황 보고서’ 9월호를 발표했다. 이에 따르면 전체 메일 중 스팸이 차지하는 비중이 92.51%에 달했으며, 특히 악성 코드를 퍼뜨리는 스팸 메일은 3배 이상, 압축파일(.zip)이 첨부된 스팸 메일은 전월 대비 4배 이상 급증한 것으로 나타났다. 악성 자바스크립트가 포함된 .html 파일이 첨부된 스팸 메일 또한 크게 증가했다.
실제 시만텍이 지난 몇 달간 주 단위로 분석한 스팸 메시지 동향을 보면 zip 파일 첨부 스팸 메일이 크게 증가했음을 확인할 수 있다. 특히 8월에는 스팸 메일에 첨부된 파일의 대부분이 zip 파일인 것으로 나타났다.
시만텍에 따르면, zip 파일 첨부 스팸 메일은 크게 ▲Trojan.Zbot 변종 ▲Trojan.Sasfis 변종 ▲‘웨비 필 메시지(Wavy pill message)’ 등 세 가지 카테고리로 구분할 수 있다. 우선 Trojan.Zbot은 주로 감염된 컴퓨터로부터 시스템 정보, 온라인 로그인 정보 또는 은행거래 정보 등의 기밀 정보를 빼내기 위해 사용되며, 악성코드 제작용 툴킷을 사용해 공격자가 원하는 어떠한 유형의 정보도 빼돌릴 수 있도록 수정이 가능하다.
Trojan.Zbot은 주로 스팸 공격이나 사용자 몰래 악성 코드를 PC에 설치하는 ‘드라이브바이다운로드(Drive-by-download)’ 공격을 통해 감염된다. 이메일에 포함된 첨부파일이 아무 문제없는 적법한 압축파일처럼 보이지만 실제로는 사용자가 해당 파일을 열어볼 경우에는 Trojan.Zbot에 감염되게 된다.
트로이목마 바이러스인 Trojan.Sasfis는 다른 악성 컨텐트를 사용자의 컴퓨터로 다운로드, 실행시키는 공격으로 특히 8월에 스팸 공격자들은 다양한 선적 및 물품발송 서비스를 사칭해 사용자들을 속인 것으로 나타났다. 웨비 필 메시지란 이미지를 그대로 첨부하는 대신 .zip 압축파일 형태로 첨부해 전송하는 공격방법으로, 이 같은 .zip 첨부 스팸 대다수는 Trojan.Sasfis나 Trojan.Zbot 등의 트로이목마를 포함하고 있는 것으로 확인됐다.
주의할 점은 사용자들을 속이기 위해 일반인들이 많은 관심을 갖는 유명인사의 근황이나 거짓 사건사고 소식을 통해 컴퓨터 사용자들의 호기심을 자극, 첨부파일을 열어 보도록 만든다는 점이다. 따라서 이러한 심리를 이용한 사회공학적 기법의 스팸 공격에 더욱 높은 주의가 요구된다.
다른 한편으로 악성 자바스크립트가 포함된 .html 첨부 스팸의 경우에는 ▲브라우저 및 플러그인 취약점을 이용해 임의의 코드 실행 ▲가짜 안티바이러스 검사 및 기타 사기성 정보 표시 ▲자바스크립트, HTML 등의 파일 다운로드 ▲브라우징 세션 탈취 ▲악성 웹사이트로 사용자 리디렉션 ▲개인정보 및 기밀정보 탈취 등과 같은 악의적인 활동을 하는 것으로 분석됐다.
시만텍코리아의 윤광택 이사는 “컴퓨터 사용자들은 이메일 첨부 파일을 열 때 출처가 확실한지 한번 더 주의깊게 살펴볼 필요가 있다”며, “개인 사용자뿐 아니라 기업들도 보다 안전한 운영체제로 업데이트하거나 포괄적인 보안 스위트를 설치해야 한다”고 당부했다.
