[디지털투데이 박근모 기자] 멀웨어와 랜섬웨어 등 악성코드를 이용한 사이버공격이 날이 갈수록 APT(지능적 지속 위협 공격) 형태로 개인과 기업을 상대로 무차별적으로 이뤄지고 있다. 특히 사용자 PC을 감염시켜 중요 데이터를 암호화한 후 자금을 요구하는 랜섬웨어가 개인뿐만 아니라 기업을 상대로 기승을 부리고 있다. 그리고, 이들 대부분 악성코드의 초기 감염이 이메일로 시작된다는 점도 주목되고 있다.

이메일을 통한 사이버공격 위험성이 커짐에 따라 보안당국 뿐만 아니라 보안업계에서는 행동기반이나 화이트리스트 방식의 보안 솔루션 등 다양한 대응 수단을 마련하고 있지만, 사이버공격을 자행하는 해커들은 또다른 취약점을 노리는 등 한발 빠른 움직임을 보이고 있어 효과적인 대응이 쉽지 않은 실정이다.

전세계 150개국 30여만대 PC 시스템을 마비시킨 워너크라이 랜섬웨어와 국내 웹호스팅 업체 인터넷나야나의 서버를 감염시켜 국내 3000여개의 웹페이지가 중단된 에레버스 랜섬웨어, 그리고 최근 우크라이나를 중심으로 PC 부팅도 불가능하게 만든 페트야 랜섬웨어 등 대규모로 발생한 굵직한 악성코드로 인한 사이버공격은 모두 마이크로소프트(MS) 윈도 운영체제(OS)의 취약점을 노린 것이다. 

이같은 랜섬웨어들의 시발점은 바로 이메일을 통한 특정 PC의 악성코드 감염으로 대규모 확산의 주원인으로 드러났다.

이메일을 통한 지능화·고도화된 사이버공격이 급등하고 있다.(자료=소포스)

지난해 랜섬웨어 등 악성코드 공격 87%가 이메일 통해 이뤄져

지난 4월 공개된 '2017 시만텍 ISTR(인터넷 보안 위협 보고서) 22호'에 따르면 지난 2014년 악성코드가 삽입된 이메일의 비중은 244개 중 1개 정도였다. 하지만 2015년에는 220개 중 1개로 증가했으며, 지난해에는 131개 중 1개로 조사되는 등 해마다 악성코드가 삽입된 스팸성 이메일이 급증하고 있다.

미국 FBI(연방수사국)의 범죄신고센터(IC3) 자료에 따르면 지난해 미국 내에서 총 1만2005건의 이메일을 이용한 사이버범죄 신고가 접수됐다. 피해액은 3억1200만달러(한화 약 3600억원)에 달하는 것으로 나타났다. 국내의 경우도 크게 다르지 않다. 지란지교시큐리티에 따르면 지난해 악성코드를 이용한 사이버공격의 87% 이상이 이메일을 통해 이뤄졌다.

이메일에 오피스 문서 파일이나 URL 등 첨부한 형태의 사이버공격 증가

윤광택 시만텍 CTO(최고기술책임자)는 "랜섬웨어의 최초 감염 수단으로 스팸성 이메일이 급증하고 있다"라며 "최근 보고된 이메일 악성코드 첨부 방식을 살펴보면 기존 '*.EXE' 실행파일 형태가 아닌 워드, 엑셀, PDF 등 오피스 문서 파일 형태로 첨부돼 보내지고 있다"고 설명했다.

이메일을 통한 랜섬웨어 감염 경로 (자료=파이어아이)

현재 대부분의 PC 보안 솔루션은 EXE 파일을 기본으로 탐지해 첨부나 다운로드 시 원천적으로 차단하도록 설계됐다는 윤광택 CTO의 설명이다.

하지만 개인이나 기업에서 이메일을 문서 배포 도구나 업무를 위해 주로 사용하는 만큼 오피스 관련 문서 파일을 보안 솔루션이 차단하는 것은 불가능하다. 특히 최근에 유포되고 있는 악성코드의 형태를 살펴보면 사용자로 하여금 정상적인 오피스 문서 파일로 위장해 실행을 하도록 요청하며, 해당 문서 파일을 열어보는 순간 문서에 포함된 매크로 기능이 활성화된다. 이를 통해 사용자의 아무런 반응이 없다고 하더라도 자동으로 PC에 스크립트 명령어가 실행되고 랜섬웨어나 멀웨어 등 악성코드가 다운로드 혹은 직접 실행된다.

윤광택 CTO는 "보안 솔루션들이 EXE 실행파일을 탐지해 차단하고, 이메일에 첨부된 잘 알려진 악성코드 역시 탐지가 가능해지면서 해커들도 다양한 사이버공격 방법을 새롭게 개발하는 중"이라며 "보안 솔루션의 탐지를 우회하기 위해서 첨부파일 다운로드나 문서 파일 실행 등 아무런 작업을 하지 않고, 단지 이메일을 열어보기만 해도 이메일에 포함된 URL 등이 자동으로 실행돼 악성코드를 내려받도록 하는 형태도 보고된바 있다"고 전했다.

악성코드 실행파일이나 문서 파일 형태가 아닌 이메일을 열기만 해도 감염되는 형태는 현재 개인이 일반적으로 사용하고 있는 보안 솔루션으로는 거의 탐지하지 못한다. 특히 이런 형태의 대다수 사이버공격은 이메일을 열때 사용하는 웹 브라우저의 보안 취약점을 이용하는 것으로, 해당 취약점 보안 업데이트를 하지 않을 경우 악성코드 감염을 피할 수 없는 실정이다. 

휴리스틱, 매크로 탐지 기능 등이 포함된 보안 솔루션 필요

이메일을 통한 랜섬웨어나 멀웨어 등 악성코드 피해를 방지하기 위해서는 기본적으로 보안 솔루션을 설치한 후 최신 업데이트 상태를 유지하는 것이 좋다는게 전문가들의 공통된 조언이다.

보안 솔루션이 이메일을 통한 알려지지 않은 악성코드 차단 과정 (자료=이글루시큐리티)

하지만 최근 발견되는 이메일을 통한 악성코드 감염을 막기 위해선 이것만으로도 부족하다. 때문에 보안 솔루션 중에서 알려지지 않은 위험요소를 사전에 방어하는 '휴리스틱' 기능이 탑재된 제품을 선택하는게 위협을 줄일 수 있는 팁이 될 수 있다.

여기에 오피스 문서 파일 형태로 위장해 공격하는 악성코드의 공격을 방어하기 위해 '악의적인 매크로 탐지' 기능이 포함된 제품을 사용한다면 한층 더 개인 PC의 보안성을 높일 수 있다.

윤광택 CTO의 설명에 따르면 최근에는 URL을 이용한 악성코드 실행 유무를 미리 파악할 수 있는 행동기반의 보안 솔루션도 출시되고 있다. 여기에 외부로부터 들어온 악성코드 등이 내부 시스템에 영향을 주는 것을 막아주는 '샌드박스' 기능이 결합된 보안 솔루션도 속속 등장하고 있다.

보안 솔루션을 이용한 예방법뿐만 아니라 해커들이 웹브라우저나 OS 취약점도 함께 노린다는 점을 고려한다면, MS 등 OS나 소프트웨어(SW) 개발사 등이 제공한 보안 취약점 업데이트를 꾸준히 해주는 것도 큰 도움이 된다.

무엇보다 잘 알지 못하는 주소를 통해 전달된 이메일이나 출처를 알 수 없는 이메일은 열어보지 말고 곧바로 삭제하는 습관이 중요하다는 것이다. 

윤광택 CTO는 "오늘 새벽에도 개인적으로 사용하는 이메일 주소에 악성코드로 여겨지는 이메일이 들어왔고, 혹시나 하는 마음에 전문가인 나도 이메일을 열어보기까지 했다"며 "최근 이메일을 이용한 사이버공격은 '사회공학적 분석'을 통해 사용자들의 반응을 인식하고, 클릭을 유도하는 형태로 이뤄지고 있다"고 말했다.

이어 "해커들은 100개 중 1개의 악성코드가 포함된 이메일을 클릭하도록 기술적·심리적 방법을 동원해 사용자를 유혹한다"라며 "아무리 좋은 차세대 보안 솔루션을 사용한다고 해도 모든 사이버공격을 막을 수 없기 때문에 랜섬웨어 등 악성코드로 인한 피해를 막기 위해서는 사용자들의 주의와 노력이 반드시 필요하다"고 강조했다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지

관련기사