시만텍(www.symantec.co.kr)이 서울 G20 정상회의를 사칭한 표적 공격(targeted attack)이 증가하고 있다고 사용자들의 각별한 주의가 요구된다고 밝혔다. 시만텍 메시지랩 인텔리전스(MessageLabs Intelligence)에 따르면 'G20 정상회의'와 주최국인 '대한민국'을 메일 제목에 포함한 표적 공격의 빈도가 증가하고 있는 것으로 나타나 각별한 주의가 요구된다.
시만텍의 조사 결과, 지난 7월부터 9월까지 일일 평균 1회의 표적 공격이 발견되었으며, G20 정상회의가 가까워지는 지난 10월과 11월 동안 3배가 증가한 일일 평균 3회의 표적 공격이 발견되고 있다. 이러한 표적 공격을 포함한 메일은 일반적으로 초대장이나 보고서를 첨부하고 있으며, 첨부파일은 보통 압축 파일 형태가 많다. 첨부 문서는 내용에 관계없이 익스플로잇(exploit)을 포함하고 있으며, 수신자가 파일을 열려고 시도하는 순간 악성코드가 활성화되기 때문에 발신인이 불확실한 메일의 경우는 첨부파일을 열지 않는 것이 안전하다.
지금까지 발견된 메일을 살펴보면 “G20 services”, “Seoul Summit Development Issue Report", "Key info for G20 Seoul Summit", "[G20] Draft Communique of the FMM&CBG meeting in Gyeongju" 등 서울 G20 정상회의와 관련된 제목을 포함하고 있는 것으로 나타났다. 이러한 종류의 메일 제목은 다른 G20 정상회의의 경우에도 개최 장소와 날짜를 변경해 종종 발견되었지만, 이번에는 "북한이 서울 G20 정상회의를 방해하려고 시도할 수 있다(North Korea may attempt to disrupt G20 summit.Seoul warns)"라는 제목의 메일과 같은 예외적인 사례도 발견된 점이 특징적이다.
무엇보다 메일 발신인을 세계적으로 잘 알려진 언론 기관의 이메일 주소와 직급까지 완벽하게 갖춘 한 인물로 설정해 스팸메일을 열고, 읽도록 유도하고 있어 더욱 큰 주의가 요구된다. 하지만 이 인물은 가사으이 인물로 해당 언론사에는 존재하지 않는다. 가상의 언론인 이름으로 사용되는 라울 발렌베리(Raoul Wallenberg)는 스웨덴 판 '쉰들러 리스트'의 주인공으로, 60여년 전에 타계한 실존 인물이다.
시만텍코리아의 윤광택 이사는 “이번에 발견된 스팸 공격은 G20 정상회의와 개최지인 한국에 대한 내용을 제목에 담고 있어 사용자가 무심코 메일을 열어볼 가능성이 높다”고 설명하며, “이러한 스팸으로 인한 피해를 예방하기 위해서는 시스템과 보안 소프트웨어를 최신 상태로 유지하고, 의심스러운 메일이나 첨부 파일의 경우 함부로 열지 않는 등 개개인의 각별한 주의가 필요하다”고 강조했다.
