지난해 4월 한글 랜섬웨어 등장 이후 국내 랜섬웨어 공격이 급증했다. 최근 다양한 형태의 변종 랜섬웨어가 이메일을 통해 다량 유입되고 있어 확산 방지를 위한 주의가 요구된다.
지란지교시큐리티는 2016년 2분기 국내 스팸메일 동향을 분석한 ‘2016년 2분기 스팸메일 동향 분석 리포트’를 발표했다.
보고서에 따르면 2분기에는 지난 1분기에 이어 변종 랜섬웨어 메일이 다량 유입으로 전분기 대비 바이러스 메일 유형이 37.8%로 급증했다.
랜섬웨어 메일은 주로 압축파일, PDF 파일 등 첨부파일을 동봉한 형태로 유입됐다. 사내메일로 위장한 변종 랜섬웨어는 메일 제목과 파일명에 Account, Payment, Report 등 송장, 결제 내역 등 일반 비즈니스 메일 형태로 유포돼 유관 직무자들의 클릭을 유도한다. 해당 유형은 대량으로 불특정 다수에게 발송되기 때문에 전사적인 사용자 주의가 요구된다.
또 메일 본문에 스캔 문서의 이미지를 첨부해 메일 신빙성을 높인 유형도 등장했다. 해당 메일은 본문에 스캔 이미지와 함께 추가 확인을 위한 온라인 뷰어 및 첨부파일 다운을 선택할 수 있는 링크를 삽입했다. 해당 링크는 알 수 없는 exe 실행파일로 연결돼 있다. 이처럼 불분명한 파일을 실행할 경우 악성코드에 감염될 가능성이 높아 링크 클릭 전 바이러스 메일 검사를 반드시 수행해야 한다.
랜섬웨어는 기업 네트워크 환경에 따라 개인 PC뿐만 아니라 공유 네트워크 전체로 확산돼 막대한 기업 손실을 가져올 수 있기 때문에 사용자 개개인의 각별한 주의가 필요하다.
이 외에도 ▲무료 쿠폰 이벤트를 미끼로 한 국내 유명 프렌차이즈 업체 사칭 스팸 메일 ▲중국 전자상거래 알리바바를 사칭한 개인정보 탈취 목적의 피싱 메일 등이 유입됐다.
의심되는 메일 내 삽입된 첨부파일 다운, 링크 클릭은 악성코드 감염, 개인정보 유출 등 2차 피해가 발생할 수 있으므로 의심메일은 즉시 삭제해야 한다.
천명재 지란지교시큐리티 이사(CTO)는 “이메일은 주요 비즈니스 채널로 외부와 연결돼 있고 사용 빈도가 높아 랜섬웨어의 주요 공격 채널로 활용되고 있다. 이는 사용자의 주의나 인지 부족을 노린 공격으로 최근 사회공학적 기법을 활용한 타겟형, 지능화된 공격형태로 고도화되고 있다”며 “확인되지 않은 메일의 첨부파일 다운 및 링크 클릭을 삼가하고 스팸·바이러스 차단 엔진을 항상 최신 상태 유지할 뿐 아니라 기업 문서를 안전한 곳에 백업하는 예방법이 병행돼야 한다”고 강조했다.
지란지교시큐리티의 분석에 따르면 2016년 1분기 전체 메일 총 19억3979만6936건중 스팸메일은 10억2928만6868건으로 전분기 대비 0.18% 증가했으며 랜섬웨어 메일 유입 증가로 인해 바이러스 메일은 전분기 대비 37.8% 증가한 309만7895건을 기록했다.
스팸메일의 유형별 비중은 성인, 홍보, 피싱, 금융 순으로 나타났으며 다양한 형태로 유입된 피싱메일은 전분기 대비 30.19%로 큰 폭으로 상승했다.
한편 지란지교시큐리티는 통합 메일보안 솔루션을 제공하는 보안SW기업으로 이메일 인텔리전스를 기반으로 국내 200여개사의 메일 데이터를 분석한 스팸메일 동향 분석 리포트 정기 발표한다. 이는 한국인터넷진흥원(KISA)과 공유돼 공동 협력체계를 갖추고 국내 메일보안 동향 분석 및 대응방안을 꾸준히 연구하고 있다.
