KPI뉴스 - 어색한 번역 대신 정교함 더했다…공공기관 사칭 이메일 주의보

  • 구름많음정읍24.9℃
  • 맑음산청26.5℃
  • 구름많음창원27.1℃
  • 흐림철원22.8℃
  • 구름많음부여24.3℃
  • 맑음순천26.1℃
  • 흐림천안23.6℃
  • 흐림이천24.9℃
  • 맑음북창원28.6℃
  • 구름많음금산24.6℃
  • 맑음제주28.3℃
  • 맑음남해27.1℃
  • 흐림대전25.0℃
  • 구름많음전주24.8℃
  • 구름많음거창25.6℃
  • 구름많음영주23.6℃
  • 구름많음울산25.7℃
  • 안개부산25.8℃
  • 흐림대관령19.7℃
  • 맑음성산26.8℃
  • 구름많음원주24.6℃
  • 구름많음영광군24.3℃
  • 구름많음영천23.9℃
  • 흐림보은23.6℃
  • 구름많음구미26.0℃
  • 맑음광양시27.3℃
  • 흐림흑산도23.6℃
  • 맑음완도26.2℃
  • 흐림속초22.7℃
  • 맑음경주시24.1℃
  • 구름많음청송군23.9℃
  • 구름많음순창군26.1℃
  • 구름많음강릉23.1℃
  • 맑음김해시27.2℃
  • 맑음북부산27.3℃
  • 흐림인제22.8℃
  • 구름많음울진22.5℃
  • 구름많음광주27.9℃
  • 맑음진도군25.2℃
  • 구름많음추풍령23.1℃
  • 구름많음거제27.0℃
  • 맑음여수27.1℃
  • 흐림춘천24.7℃
  • 비인천24.5℃
  • 구름많음군산23.9℃
  • 구름많음영월22.5℃
  • 흐림홍성23.6℃
  • 맑음양산시27.8℃
  • 구름많음태백20.7℃
  • 맑음목포25.4℃
  • 흐림보령23.5℃
  • 구름많음남원26.2℃
  • 흐림정선군22.9℃
  • 맑음고산26.5℃
  • 구름많음포항22.6℃
  • 구름많음안동25.0℃
  • 흐림동두천23.4℃
  • 맑음서귀포27.6℃
  • 흐림파주22.5℃
  • 구름많음봉화23.6℃
  • 구름많음북강릉22.4℃
  • 맑음보성군27.3℃
  • 맑음진주26.8℃
  • 흐림상주24.3℃
  • 구름많음의성24.9℃
  • 맑음강진군27.0℃
  • 흐림수원23.9℃
  • 구름많음서산22.9℃
  • 맑음장흥26.5℃
  • 흐림백령도21.0℃
  • 구름많음장수23.9℃
  • 맑음고흥26.3℃
  • 비서울25.2℃
  • 구름많음충주23.7℃
  • 흐림강화22.2℃
  • 흐림문경25.5℃
  • 흐림북춘천24.6℃
  • 흐림영덕21.9℃
  • 구름많음고창군24.0℃
  • 흐림세종23.9℃
  • 맑음함양군25.8℃
  • 맑음밀양29.1℃
  • 구름많음제천22.3℃
  • 구름많음동해22.5℃
  • 흐림청주26.6℃
  • 흐림양평25.0℃
  • 맑음합천25.3℃
  • 흐림고창24.1℃
  • 맑음해남26.1℃
  • 구름많음부안24.3℃
  • 비울릉도23.2℃
  • 구름많음임실24.6℃
  • 구름많음홍천24.1℃
  • 흐림서청주24.2℃
  • 구름많음대구25.5℃
  • 구름많음통영25.5℃
  • 맑음의령군27.7℃

어색한 번역 대신 정교함 더했다…공공기관 사칭 이메일 주의보

김들풀
기사승인 : 2019-07-10 16:22:22
공정위 공문 형태 랜셈웨어 이메일 주의…첨부파일 절대 클릭 말아야

공공기관 사칭 랜섬웨어(Ransomware)가 첨부된 악성 이메일이 갈수록 진화하고 있어 각별한 주의가 요구된다.

이번에 출현한 악성코드는 공정거래위원회가 정교한(발신인 및 직인, 내용 등) 공문서 형태 이미지를 포함하고 있어, 대부분 사용자가 속을 위험이 매우 크다.


▲공정거래위원회 이름으로 '전자상거래 위반행위 조사통지서'라는 제목으로 악성코드가 포함된 이메일이 발송됐다. [서울도시가스 이현정 과장 제공]

랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어로 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤, 금전을 요구하는 악성 프로그램으로 한 번 감염되면 복원하기 거의 불가능하며, 돈을 지불한다고 해도 복원이 보장되지 않는다. 


이번에 유포된 공정위의 '전자상거레 위반행위 조사통지서’라는 제목으로 발송됐다. 또 첨부된 파일은 png 이미지 2개와 악성코드가 포함된 '전산 및 비전산자료 보존 요청서'라는 egg 압축 파일명이다.

해당 압축 파일을 풀어보면 '부당 전자상거래 위반행위 안내'와 '전산 및 비전산자료 보존 요청서' pdf 파일로 보인다. 하지만 마치 PDF 파일처럼 보이지만 실제로는 실행파일이다. 즉 '전산 및 비전산자료 보존 요청서 pdf .exe'와 '부당 전자상거래 위반행위 안내 pdf .exe'다.

이는 공백을 이용한 exe 확장자를 가리는 방식을 취하고 있다. 해당 악성 이메일을 수신하면, 첨부파일을 절대로 클릭하지 않도록 주의해야 한다.


▲악성코드가 포함된 이메일 첨부 파일은 png 이미지 2개와 악성코드가 포함된 "전산 및 비전산자료 보존 요청서’라는 egg 압축 파일명[서울도시가스 이현정 과장 제공]


악성코드 유포 악성 이메일 피해예방 수칙은 △신뢰할 수 있는 백신 프로그램 설치 및 최신 버전 유지 △윈도우 등 OS 및 사용 중인 프로그램은 최신 버전으로 업데이트 △중요자료는 네트워크에서 분리된 별도 저장장치에 정기 백업 △출처가 불분명한 이메일 또는 첨부파일은 실행 주의 등이다.

보안전문가 오디터 리(Auditor Lee)는 "어색하던 한글 번역이 많이 개선됐다, 대충 읽으면 속기 쉬워졌다. 조금 이상한 메일 받으면 반드시 발신자 확인해야 한다"며, "보통 메일의 '헤더보기'를 해서(헤더 볼 줄 모르더라도) @가 있는 이메일 주소들만 살펴봐도 알 수 있다"고 당부했다.


▲해당 압축 파일을 풀면 "부당 전자상거래 위반행위 안내’와 "전산 및 비전산자료 보존 요청서’ 제목의 pdf 파일로 보인다.[서울도시가스 이현정 과장 제공]

서울도시가스 보안전문가 이현정 과장은 "공정위 사칭이 얼마 전까지는 hwp 파일로 악성파일이 왔었다. 하지만 오늘 유포되는 압축파일(검사 회피용)에 pdf 파일인 것처럼 위장한 실행파일이다"며, "첨부된 이미지는 공정거래 위원회의 공문처럼 보이게 작성되어 있는데 옛날처럼 조잡하지 않다. 유포 기술이 발전한 것으로 보인다"고 말했다.

그는 이어 "공격대상자 입장에서는 파일 확장자 확인만으로는 놓칠 수 있으며, 악성파일은 일단 실행 시 특별한 행위를 보여주지 않는 경우가 많다."며 "그냥 넘어가지 말고 해당 사항을 보안팀에 알려주는 것이 피해 확산을 막는 가장 좋은 방법이다"라고 말했다.

요즘은 백신이 최신 악성코드를 막지 못하는 경우가 많다. 따라서 엔드포인트(Endpoint, 네트워크의 말단에 접속된 IT 기기인 PC, 노트북, 서버용 컴퓨터) 방어가 최선이 아닌 계층 방어를 해야 한다, 


 악성코드 실행 시 페이로드(Payload) 다운로드 등을 막을 수 있어서 엔드포인트 방어가 뚫려도 다음 단계에서 방어가 되기 때문이다. 따라서 보안관리자는 다층 방어를 염두에 둔 보안운영이 필요한 시점이다.

KPI뉴스 / 김들풀 전문기자 itnews@kpinews.kr


[저작권자ⓒ KPI뉴스. 무단전재-재배포 금지]