본문 바로가기
AhnLab 보안in

카드명세서 위장 악성 메일, 이렇게 대응한다!

by 보안세상 2020. 4. 9.

2010.07.21

 

카드 요금명세서 메일, 쇼핑몰의 배송 안내 메일 등이 오면 누구나 의심 없이 클릭하기 마련입니다. 이렇게 신뢰할 수 있는 회사나 기관이 보낸 중요 메일로 위장하여 일반인들에게 무작위로 악성코드를 유포하는 보안 위협이 최근 증가하고 있습니다. 이에 그 유형을 자세히 알아보고, 피해를 예방할 수 있는 방법을 찾아보고자 합니다.

위장 악성코드 메일의 다양한 유형

메일을 통해 유포되는 악성코드는 평소 인터넷쇼핑이나 인터넷뱅킹 등을 자주 이용하는 사람이면 누구나 일주일에 서너 번은 받게 되는  쇼핑몰 배송 관련 메일이나 카드 명세서 메일로 위장하고 있고, ActiveX 형태로 악성코드를 설치해 주의하지 않는다면 누구나 쉽게 감염될 수 있습니다.
현재까지 발견된 메일 유형은 아래와 같습니다.

유형1) ‘BC카드20100620일 이용 대금명세서입니다?’라는 제목의 메일


유형2) '7월 이용대금 명세서'라는 제목의 메일

위 두 메일은 [이용대금 명세서 보기] [이용대금명세서현황] 등을 클릭하면 ActiveX 설치 유도 창이 나타나고 이를 설치하면 악성코드 파일을 다운로드 하게 됩니다.

유형 3) 쇼핑몰 홍보 메일로 위장한 악성코드 유포 메일

 

유형 4) ‘[지마켓] 주문하신 상품이 발송되었습니다 배송 안내 메일로 위장

위 메일들은 메일 제목을 클릭해 본문을 보면 악성코드에 감염됩니다.

위장 악성코드 메일 내용 상세 분석
요금명세서 및 쇼핑몰 메일로 위장한 악성코드 유포 메일의 특징은 ActiveX를 이용하여 악성코드를 설치한다는 점입니다. 대부분 정상적인 요금명세서 메일과 쇼핑몰 메일도 이런 형태로 발송되고, 보안 툴 역시 ActiveX로 설치되기 때문에 일반 사용자는 악성 여부를 확인하기가 어려워 감염될 가능성이 매우 높은 형태의 유포 방법입니다.

그럼 악성코드가 어떤 식으로 유포되어 어떤 기능을 수행하는지에 상세히 분석해 보도록 하겠습니다. 전체적인 구조도 입니다.

1. 불특정 다수에서 요금명세서 및 쇼핑몰 메일로 위장하여 메일을 유포하게 됩니다.

2. 메일을 받은 사용자는 메일에 포함된 링크를 클릭하게 됩니다.

3. 메일 본문을 클릭 하거나 특정 링크 클릭 시 ActiveX 설치 메시지 창이 나타납니다.

4. ActiveX가 정상적으로 실행이 되게 되면 특정 사이트로 접속을 합니다.

5. 특정 사이트에 악성 *.exe  *.dll 파일을 다운로드 하여 사용자의 시스템에 설치가 됩니다.

6. 설치된 파일은 악성 행위를 수행하게 됩니다.

7. 악성 행위 중 대표적인 행위는 특정 서버(C&C)에서 명령을 전달 받습니다.

8. 전달 받은 내용을 토대로 DDOS 기능을 수행하게 됩니다.

9. 마지막으로 불특정 다수에게 메일을 발송하여 다시 악성코드를 유포하게 됩니다



위장 악성 메일 대응 상황

현재 안철수연구소 V3 제품군에서는 이와 유사한 형태의 악성코드를 계속해서 모니터링하고 수집하고 있으며 발견 즉시 엔진에 반영하여 대응하고 있습니다.

ASD(AhnLab Smart Defence)를 통해 실시간으로 확인된 데이터를 기반으로 집계한 결과 지금까지 위장 악성코드 메일로 감염된 PC 수 현황은 다음과 같습니다.

 

그래프를 보면 최초 발견은 2010 6 3일경에 되었으며 발생 주기가 매일 단위로 타이트하게 진행되는 추세 입니다.


위장 악성 메일 예방 방법

이러한 일종의 사회공학적 기법을 이용하여 악성코드를 유포하는 경우 악성 여부를 확인하기가 상당히 어렵습니다. 따라서 이러한 종류의 악성코드로부터 예방을 하기 위해서는 아래와 같은 수칙을 반드시 지키면서 인터넷을 이용하시기 바랍니다.

1) 백신 설치는 기본, 항상 최신 버전의 엔진으로 유지하도록 한다.
2) 자신에게 해당하지 않는 요금명세서 관련 메일은 열람하지 않고 받는 즉시 삭제한다.
3) 주문하지 않은 상품에 대한 상품 발송 관련 쇼핑몰 메일은 열람하지 않고 즉시 삭제한다.
4) 발신자의 이메일 주소가 해당 메일을 보낸 회사가 맞는지 확인한다.

 

 

 박영준 연구원 (ASEC팀 악성코드 분석 담당)