어느 날 갑자기 업무용 메일로 ‘저작권법 침해가 있어 연락드립니다’와 같은 메일을 수령할 때가 있다. 하지만 사용자를 노린 피싱 공격일 가능성도 있기 때문에 메일을 열어볼 때 항상 주의를 기울여야 한다.
이 같은 피싱 메일에 대해 더 자세히 분석해 보았다. 메일 내용을 보면 어눌한 한국어가 살짝 의심스럽지만, 별다른 특이점은 없다. 하지만 첨부된 압축 파일은 매우 의심스럽다.
해당 파일은 ALZ로 압축되어 있다. ALZ 확장자는 국내에서 압축 소프트웨어 ‘알집’으로 해제할 수 있는 압축 유형이지만, 실제로 이 유형의 사용자는 드물다. 알집 역시 대표적인 압축 형식 ZIP을 지원하며 사용자의 기본 설정 역시 ZIP 형태이기 때문이다. 메일 내용이 한국어라는 점과 첨부파일인 ALZ가 국내 프로그램에서 압축 해제가 된다는 점에서 국내 사용자를 노린 공격으로 분류할 수 있다.
해당 파일을 내려 받아 압축을 해제하면 2개의 파일이 들어있으며, 파일 이름은 ‘이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용_Copy’, ‘저작권법 관련하여 위반인 사항들 정리하여 보내드립니다’ 등이다.
주목할 점은 모두 ‘exe’ 파일이란 것이다. 정말로 이미지 무단 사용에 대한 내용이라면, 이미지 파일이나 PDF 파일이 들어있어야 한다.
해당 파일을 검사하면 ‘Trojan.Ransom.Makop’로 분류된다. 즉, Makop 랜섬웨어다. 이는 비너스락커라는 조직이 유포해온 랜섬웨어로, 해당 조직은 올해 초에도 입사지원서를 사칭해 악성 파일을 대량 유포한 바 있다.
이 악성 파일은 대부분의 상용 안티 바이러스에서 탐지할 수 있기에 정상적인 안티 바이러스 소프트웨어를 사용하고 바이러스 정의 DB를 자동으로 업데이트 했다면, 이 공격에 피해를 입을 가능성을 상당히 낮출 수 있다.
또한, 의심스러운 메일의 첨부파일이나 링크를 열어보지 않는 기본적인 보안수칙을 지키고, 될 수 있으면 폴더 설정에서 확장자를 표시하도록 하여 ‘*.PDF___.EXE’ 같은 이중 확장자에 속지 않도록 해야 한다.
[제작=서울여대 정보보호학과 학생회]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>