방역 수칙 위반 경찰서 출석요구 사칭 메일 사례

저번주 평일만해도 아침에는 생각보다 온도가 낮아 코트를 입고 나갔던 것 같은데, 이번주부터 날씨가 갑자기 더워져서 옷을 가볍게 입고 나갔는데요. 그래도 아침, 저녁에는 여전히 쌀쌀하기도 하고 일교차가 크기 때문에 감기 걸리시지 않게 조심하기 바랍니다. 그래서 오늘도 어제와 마찬가지로 악성 메일에 대해서 간단하게 말씀드려볼텐데, 이번에는 방역 수칙을 위반해서 경찰서에 출석을 해야한다는 다소 불안감을 주는 내용으로 유포되고 있다고 합니다. 이러한 메일의 최종 목표는 사용자가 메일에 포함된 악성 문서를 열게 만드는 것인데, 이 부분에 대해 짧게나마 설명드리도록 하죠.

​

이전 포스팅에서도 계속 설명드렸지만, MS 워드에서는 사용자가 반복하는 작업을 쉽게 자동화할 수 있도록 매크로라는 기능을 제공한다고 했었는데요. 이 매크로가 윈도우에서 기본적으로 사용하는 비주얼 베이직 스크립트 언어를 사용하고 있고, 모든 함수를 사용할 수 있으면서 직접 코드 수정이 가능하다 보니 해커가 악성 행위를 하는 코드를 넣어두고 사용자에게 유포한다고 말씀드렸습니다. 사실 워드부터 시작해서 한글, PDF와 같은 문서는 회사에서 업무를 수행하면서 자주 사용하기 때문에 EXE와 같은 실행파일에 비해 비교적 덜 의심하게 되죠.

​

그나마 네이버나 구글과 같은 메일 서버에서는 보안 솔루션이 꽤나 잘 되어있기 때문에, 소위 문서형 악성코드라고 부르는 매크로를 이용한 악성 문서들이 메일에 포함되면 필터링해주고 있는 듯 합니다. 물론 대기업에서도 자체적으로 메일 서버를 구축해서 CDR과 같은 보안 솔루션을 추가적으로 연동하여 쓰기 때문에 문제는 없어보이지만, 중소기업이나 스타트업에서는 예산 문제로 보안 솔루션이 잘 구축되어 있는 경우가 많지 않습니다. 거기다 해커들이 계속해서 보안 솔루션을 우회하기 위한 기법들을 적용하기 때문에, 아무리 보안 솔루션이 잘되어 있더라도 100% 막을 수 없다는 것이 사실이죠. 그러다보니 대부분 보안솔루션이 잘 구축되지 않는 규모가 작은 기업에서 피해를 많이 입게 됩니다.

​

또한 웹 메일을 사용하는 일반 사용자들도 조심해야 하긴 마찬가진데요. 초기에는 사용자 PC에서 백신 유무에 관계 없이 악성 행위를 수행한 반면, 최근에는 백신이 실행되고 있으면 아예 악성 행위를 하지 않는 경우도 있죠. 보통 악성 문서로 분류되면 백신의 DB에 추가되기 때문에, 백신에 잡히는 시간을 좀 더 지연시키기 위함으로 보이고요. 또한 문서에 보안 프로그램을 설치해야하니 백신의 실시간 감시를 꺼두라는 이미지를 그럴싸하게 보여줌으로써, 사용자가 직접 백신의 실행을 중지시키도록 만드는 경우도 있기 때문에 주의하셔야 할 것으로 생각됩니다.

‘방역 수칙 위반 경찰서 출석요구서’ 사칭한 악성메일 유포중

제가 여태까지 올려드린 보안 이슈를 보시면, 개인정보 탈취를 위한 피싱 메일의 형태나 메일에 포함된 첨부파일의 컨텐츠만 조금씩 달라질 뿐, 사용자가 악성 메일을 읽어서 악성코드에 감염되는 전반적인 과정은 비슷하다고 생각되실 겁니다. 하지만 계속해서 보안 솔루션을 우회하려고 새로운 취약점을 사용하기도 하고, 사회공학적인 기법도 쓰고 있어서 문제인거죠. 특히 최근에는 출석통지서나 긴급재난지원금과 같은 사용자들의 불안과 관심을 이끄는 메일 제목으로 유포되고 있기에, 새로운 내용으로 악성 메일이 나올 때마다 포스팅을 함으로써 읽는 분들이 경각심을 가지실 수 있다면 이 글의 의미는 충분하다고 생각합니다. 그럼 오늘은 여기서 마치도록 하죠. 감사합니다.