공짜 좋아했다가 큰코다친다. 불법 말고 정품을 사용해야 할 이유다. 또한 날로 교묘해진 악성 이메일에 대비해 발신자 이메일을 꼭 확인하자.
돈 아끼려 불법 소프트웨어 쓰면 개인정보 유출된다
안랩은 MS 제품 불법 정품인증 툴로 위장한 ‘Vidar’ 악성코드가 최근 유포되고 있다고 경고했다. 공격자는 P2P사이트, 불법 다운로드 사이트 등 다양한 경로로 MS 제품에 대한 불법 정품인증 툴인 ‘KMSAuto’나 ‘KMSPico’ 등)으로 위장한 악성 실행 파일을 유포했다.
유저가 해당 악성 실행파일을 실행하면 비밀번호 입력창이 나타난다. 여기에 공격자가 제공한 비밀번호를 입력하고 OK 버튼을 누르면 불법 정품인증 툴과 ‘비다르(Vidar)’ 악성코드가 동시에 설치된다.
비다르 악성코드는 감염 PC 내 주요 정보를 외부로 유출한다. 유출 대상 정보는 FTP 클라이언트 내 저장된 사용자 계정정보, 웹 브라우저 내 계정정보 및 자동 채우기 값, 인터넷 쿠키, 암호화폐 지갑주소 등이다. 정보유출 행위 이후에도 다른 악성코드를 내려 받아 추가 악성행위를 수행할 수 있다.
이번 악성코드는 실제 불법 정품인증 툴과 동일한 아이콘과 파일명을 사용하고, 툴 설치까지 진행되기 때문에 사용자는 악성코드 감염을 의심하기 어렵다.
피해를 예방하려면 △정품 SW 및 콘텐츠 이용 △의심되는 웹사이트 방문 자제 △OS 및 인터넷 브라우저, 응용프로그램, 오피스 등 SW 최신 버전 유지 및 보안 패치 적용 △백신 프로그램 최신버전 유지 및 주기적 검사 △주기적인 비밀번호 변경 등의 보안수칙을 준수해야 한다.
이재진 안랩 연구원은 “공격자에게 탈취된 정보는 추후 금전 탈취나 계정 도용 등 다양한 범죄에 악용될 수 있다”며, “피해를 예방하기 위해선 정품 소프트웨어 사용을 생활화하고 의심스러운 웹사이트나 P2P 이용은 자제하는 것이 좋다”고 말했다.
국세청 홈택스 이메일로 발신지 정교하게 조작한 스피어 피싱
통합보안기업 이스트시큐리티는 최근 ‘국세청 전자세금계산서 발급 메일 안내’로 위장한 악성 이메일이 국내 공공기관과 기업 종사자를 대상으로 유포되고 있어 각별한 주의가 필요하다고 밝혔다.
이번 공격은 악성 파일을 첨부한 이메일을 특정 대상에게 발송하는 ‘스피어 피싱’ 이메일 공격 방식을 사용한다. 기존 국세청 홈택스(hometax) 사칭 공격에서 한 단계 진화해, 발신지 주소까지 실제 홈택스 도메인(hometaxadmin@hometax.go.kr)처럼 정교하게 조작한 것이 특징이다. 이처럼 이메일 발신지 주소가 실제 도메인으로 위장돼 있을 경우, 메일 수신자가 이메일의 악성 여부를 판단하기 어렵기 때문에 공격에 감염될 가능성이 증가한다.
또한 이메일에 첨부된 압축 파일은 ‘.pdf.zip’과 같이 이중 확장자를 사용하고 있으며, 사용자 PC의 탐색기 폴더 옵션 설정이 확장자 숨김 처리가 돼 있을 경우 실제 PDF 파일처럼 보여 의심 없이 열어보도록 유도하고 있다. 만약 사용자가 해당 압축파일을 풀고 내부 실행 파일을 실행할 경우, 폼북(Formbook) 유형의 악성코드에 감염돼 기업 내부의 다양한 해킹 피해로 이어질 수 있어 각별한 주의가 필요하다.
문종현 이스트시큐리티 이사는 “국세청, 경찰청, 법원 등의 국가기관을 사칭한 악성 이메일이 잊을 만하면 등장하고 있지만, 대부분은 발신지 이메일 주소만으로도 쉽게 판별할 수 있었다”며, “기업과 기관 종사자가 스피어 피싱 이메일을 열람하고 첨부파일을 열어보게 되면, 해당 임직원의 개인정보는 물론 기업 내부 정보 유출로 이어지는 피해가 우려되는 만큼, 이메일 열람 시 개인 차원에서의 각별한 주의도 필요하다”고 당부했다.