정상적인 이메일을 가로채 악성 파일을 첨부한 뒤 다시 메일을 보내는 수법의 악성코드 ‘칵봇(Qakbot)’이 국내에 퍼지고 있다. 정상 메일로 오인한 수신자가 의심하지 않고 첨부파일을 열도록 유도해 주의가 요구된다.
안랩 시큐리티대응센터(ASEC)는 블로그를 통해 칵봇에 대한 주의를 16일 권고했다. 뱅킹형 악성코드인 칵봇은 금융정보 탈취, 이메일 정보 수집, 악성 외부 접속 허용 등 피해를 준다.
이번에 탐지된 수법은 정상 메일을 가로채 악성 파일을 첨부한 뒤 사용자에게 회신하는 형태다. 수신 대상으로는 기존 메일의 수신·참조인 메일주소를 활용했다.
메일에 첨부파일 열람을 유도하는 내용이 담겨 있다. 이를 통해 정상 메일로 오인한 수신자가 의심 없이 파일을 여는 것을 유도한다.
안랩에 따르면 첨부된 PDF 파일명은 UT, RA, NM과 같은 랜덤 문자의 형태다. 해당 PDF 파일을 실행하면 마이크로소프트 애저의 로고와 함께 악성코드 주소로 연결된다.
칵봇은 과거에도 이메일을 사용한 공격에 자주 쓰였다. ASEC는 “(이번 유포 악성코드는) 안티바이러스 프로그램의 진단을 우회하기 위해 더미 텍스트와 함께 난독화 돼 있는 스크립트 코드를 확인할 수 있다”며 “유사한 방식으로 다수의 악성 이메일이 유포되고 있으므로 출처가 불분명한 이메일 열람을 주의해야 한다”고 설명했다. 이와 함께 “사용하고 있는 보안 제품을 최신버전으로 업데이트해 사용할 것을 권고한다”고 당부했다.
한편, ASEC에 따르면 최근 피싱 이메일 첨부파일에 ‘가짜 페이지’가 가장 많은 유형으로 나타났다. 가짜 페이지는 공격자가 로그인 페이지, 광고성 페이지의 화면 구성, 로고, 폰트를 그대로 모방한 것이다. 사용자가 자신의 계정과 패스워드를 입력하도록 유도해 정보를 탈취한다.
최진석 기자 iskra@hankyung.com
뉴스