연일 해킹 사고를 일으키는 악성코드는 살아 남기 위해 여러가지 위장전술을 쓰고 있는 것으로 나타났다. 전통적으로 유명 프로그램이나 애플리케이션(앱) 등의 설치파일을 위장하는 수법 외에도 문서파일, 이메일 등이 해커들이 애용하는 위장 대상이다.
11일 안랩은 보안 바로알기 캠페인의 일환으로 '위장 악성코드 바로알기'를 통해 이 같이 밝혔다.
이 회사에 따르면 유명 프로그램 및 앱 위장은 고전적인 수법이다. 일반 사무용 프로그램에서부터 고득점을 노리는 인기 게임앱까지 모두 위장대상이 된다. 최근에는 백신을 위장한 악성코드가 기승을 부리고 있다. 이들은 V3는 물론 맥아피, 시만텍 등의 백신의 실행파일 등을 위장하고 있다. 사람들이 가장 많이 쓰는 프로그램을 노려야 공격의 효과를 극대화할 수 있기 때문이다.
최근에는 스마트폰을 비롯한 모바일 환경이 확산됨에 따라 모바일 악성코드도 기승을 부리고 있다. 이 경우에는 인기 게임앱을 대상으로 하거나 PC에서와 마찬가지로 모바일 백신 제품을 사칭하고 있기도 하다.
따라서 PC나 모바일에서 프로그램이나 앱을 다운로드 할 때, 제작자를 반드시 확인하고, 출처가 불분명하거나 평판이 좋지 않다면 설치를 자제하는 것이 좋다. 또한 보안 회사에서 제공하는 보안 패치는 빠지지 않고 제때 설치해야 합니다.
문서파일을 위장한 악성코드는 사용자들에게 열어볼 수밖에 없게 사용자들의 호기심을 자극한다. 일반적인 악성코드가 담긴 실행파일의 확장자가 '*.exe'이다. 때문에 미심쩍은 exe파일은 안 열어보면 그만이다. 그러나 문서파일은 다르다. 이를테면 북핵관련문서, 출장보고서, 조류독감 안내문 등의 이름으로 이메일 첨부파일을 보내면 이를 안 열어보기가 힘들다. 더구나 최근에는 아래아 한글, MS워드, PDF, PPT 등의 파일은 정상적인 내용이 들어있음에도 불구하고 악성코드가 숨어져 있어 은밀하게 실행된다.
메일 위장은 APT공격의 90% 이상에 사용하는 수법으로 일반파일을 위장한 악성파일을 첨부파일로 추가해 전송한다. 이는 특히나 군사기밀, 기업기밀 유출 등 목표가 분명한 표적공격에 주로 사용된다.
최근 은행 공지, 이메일 청첩장, 금융사 정보, 통화 및 카드 명세서, 유명 국제 운송회사 송장, 페이스북 관리자, 교통 범칙금까지 매우 다양한 내용 및 발신자로 위장해 악성메일로 전파되고 있다.
악성메일은 대부분 첨부파일을 실행하도록 유도한다. 이를 실행하는 순간 PC에 악성코드가 침투하게 되는 것이다. 국내에서는 실제와 구분하기 어려울 정도로 유사하게 제작된 신용카드 거래 명세서로 위장한 악성코드가 유포되고 있고, 해외에서는 글로벌 운송회사의 화물추적 및 운송장으로 위장한 사례가 꾸준히 발견되고 있다.
관련기사
- 6.25 공격 사용 악성파일, PC방서 전파2013.07.11
- 다음 모바일 청첩장 위장 악성코드 발견2013.07.11
- 카톡 위장 악성앱 '어떤 수법 동원됐나'2013.07.11
- 안랩 "정부 노린 악성코드 웹하드서 유포"2013.07.11
이를 막기 위해서는 메일 발신자를 확인해 의심이 없도록 하고, 맞춤법이 잘못되거나 어색한 표현 등이 보인다면 파일 실행을 자제해야 한다.
안랙측은 악성코드가 위장하는 방법이 더욱 다양해지고 교묘해지고 있다며 이를 피하기 위해 백신 최신 버전 유지, 프로그램 보안패치 제때 설치, 발신자 불분명한 메일, 첨부파일, URL 실행 금지 등을 지켜야 한다고 강조했다.
