방화벽 우회, 감염 PC 주소록 추출 등 위험
최근 악성코드를 감염시킬 목적의 이카드(e-Card)를 가장한 스팸메일이 다량으로 유포돼 주의가 요구되고 있다.
7일 한국정보보호진흥원 인터넷침해사고대응지원센터(www.kisa.or.kr KISA)에 따르면 일부 프로그램에서 메일을 열게되면 반응하는 악성코드의 유포가 가능한 e-Card의 발생이 위험수위에 올랐다고 밝혔다.
e-Card는 해당 스팸메일이 영문으로 ‘누군가가 당신에게 인터넷 카드를 보냈다’고 알리고 카드 내용을 보기 위해서 특정한 사이트로의 접근을 유인하는 내용으로 구성돼 있다.
이는 MS06-014: MS 데이터 접근 컴포넌트와 MS06-057: MS 윈도우 탐색기 원격코드 실행, 애플사 퀵타임 7.1.3이하의 버전에서 RTSP(Real Time Stream Protocol) URL처리, WinZip(압축유틸리티) 10.0 이하의 버전에서 임의명령 실행시 취약점에 반응한다.
이로 인해 취약점에 대한 보안패치를 하지 않은 사용자는 스팸메일의 본문에 있는 링크를 클릭하면, 악성코드가 자동 설치되고 여러가지 악성 행위가 발생하게 된다.
주요 감염기능을 보면 MS 윈도우 개인 방화벽 우회와 자기은폐 기능을 통해 감염된 PC에 저장돼 있는 이메일 주소를 추출하고 각 이메일 주소에 e-Card를 가장한 스팸메일 발송, 추가 악성코드 다운로드·실행 및 DDos 등 예상되고 있다.
스팸 메일 제목의 경우 Thank you ecard, Animated card, Greeting ecard, Musical e-card, Movie-quality e-card, Thank you postcard, Funny postcard, Birthday postcard , 제목없음 등이다.
이처럼 이카드 스팸 피해가 확산되자 KISA 인터넷침해사고대응지원센터는 영문 제목의 ‘e-카드’ 메일이 수신되면 본문에 있는 링크를 클릭하지 않도록 주의 할 수 있도록 당부했다.
특히 보안 취약점이 내재된 MS06-014, MS06-057: 윈도우 보안 업데이트 실행(시작>모든프로그램>WindowsUpdate), Apple QuickTime Player 7.1.3이하의 버전, WinZip 10.0이하의 버전 사용자는 최신 업데이트를 서둘러야 한다. 백신 사용자의 경우에는 룰 패턴을 최신버전으로 업데이트 하면된다.
이 밖에 일반적인 스팸메일은 메일제목 등을 필터링하면 스팸을 방지할 수 있다. 이번 악성 스팸메일의 경우도 위에 언급한 메일 유형에 대한 필터를 통해 메일유입을 어느정도 방지할 수 있을 것으로 보인다. 그러나 제목과 본문 내용이 시간이 지남에 따라 다양하게 바뀌고 있어 이러한 방법을 통한 예방에는 한계가 있을것으로 예상했다.
한국정보보호진흥원 인터넷침해사고대응지원센터 관계자는 “메일 본문에 있는 링크를 클릭해 악성코드 감염이 의심되면 백신업데이트를 하지 않은 사용자는 최신으로 백신업데이트를 실시하고 PC 전체를 진단해 치료해야 한다”며 “만약 백신으로 검사 및 치료한 후에도 PC가 이상 현상을 보이면 인터넷침해사고대응지원센터(국번없이 118)로 문의하면 된다”고 말했다.
[배군득 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>