본문 바로가기
이슈로그

진화하는 스팸 메일, 형태와 유형 분석

by @딜레탕트 2012. 2. 2.



2011년 4분기를 기준으로 보면, 스팸 메일이 줄어들기는 했습니다만, 교묘하게 진화했다는 사실을 지란지교소프트가 밝혔스니다.

오늘 지란지교소프트가 언론에 보도자료를 통해 배포한 "2011년 4/4분기 스팸메일 동향 분석 보고서"에 따르면, 국내 200여 개 기업의 이메일 데이터를 분석한 결과 4/4분기에 집계된 스팸메일은 총 1,405,178,395건으로 지난 분기 대비 약 14.46% 감소한 것으로 나타났습니다. 또한 바이러스 메일에 있어서도 총 4,449,094건으로 지난 분기 대비 약 57.74% 감소했다는군요.

정상적인 메일에 있어서도 2011년 4분기에는 771,204,701건이었는데요, 이 같은 수치는 지난 분기 대비 5.87% 증가한 것이라고 합니다.

이렇듯 지난 4분기 동안의 스팸메일은 다소 감소했습니다만, 유형을 살펴보면 더욱 교묘하고 치밀하게 진화한 것으로 나타났는데요, 그 내용을 보면 다음과 같습니다.


UPS의 메일로 위장한 악성코드 메일이 새롭게 등장했습니다.


이 메일은 "UPS Invoice Notification"로 위장한 스팸메일로서 본문의 링크가 실제 UPS 사이트로 연결되는 것을 특징으로 하고 있습니다.

일반적인 스팸메일의 경우 정상 메일의 형태를 모방하지만, 본문의 링크는 실제 사이트와 연관이 없는 URL로 구성되는 편이라고 합니다. 하지만 최근 등장한 UPS 관련 악성코드 메일의 경우 본문의 링크가 실제 사이트로 연결되기 때문에 스팸 및 악성코드 메일을 구분할 수 있는 수신자들까지도 주의 깊게 확인하지 않으면 당할 수 있을 만큼 교묘한 형태를 띄고 있다는군요.


IRS(미국 국세청) 세금 환급 메일로 위장한 악성코드 메일도 새롭게 등장했스니다.


이 악성코드 메일에는 세금 환급 처리가 지연되고 있으니 링크를 클릭하라는 메시지와 함께 ‘review page on irs.gov’ 링크가 포함되어 있습니다. 수신자가 의심 없이 해당 링크를 클릭하면, 악성코드가 자동으로 설치 되는 방식을 띄고 있다는군요.


페이스북을 악용한 악성코드가 스팸 메일 형태로 변형되어 등장하고 있습니다.


지난 2011년 3분기에 페이스북을 악용한 악성코드 메일이 4분기에는 스팸메일 형태로 변형되어 등장했습니다.

메일 수신자가 보낸 페이스북 메시지가 제대로 전달되지 않았으니 하단의 링크를 클릭하도록 유도해, 캐나다의 성인약품 사이트로 연결시키는 유형이라고 합니다.


Youtube로 위장한 스팸 메일도 등장하고 있습니다.


유튜브로 위장한 스팸메일 역시 페이스북과 비슷한 형태로 클릭을 유도하는 방식을 취하고 있습니다.


이 밖에도 스티븐 잡스의 사망 소식, 북한의 김정일 사망 소식을 악용한 악성코드 메일도 빠지지 않고 등장하고 있는데요, 지란지교소프트 측은 이러한 악성코드 메일로부터 안전하게 PC를 보호하기 위해서는 최신 버전의 백신 프로그램을 꼭 설치하고, 실시간 기능을 설정해 놓는 것이 좋으며, 보안 업데이트를 진행해 운영체제나 웹 브라우저의 취약점을 제거 하는 것이 좋다고 하는군요. 또한, 메일 본문의 링크나 첨부 파일을 함부로 클릭하거나 다운받지 않도록 조심해야 한다는 당부도 빠뜨리지 않고 있습니다.


그렇다면 지난 2011년은 어떤 스팸 메일들이 있었을까요?


2011년은 사회공학 기법을 악용한 스팸 메일이 많았던 한 해였습니다. 믿을 수 있는 사람으로 위장해 수신자로 하여금 스패머가 원하는 대로 행동을 하게끔 유도하는 방식이라는군요. 수 만 명의 사망자와 수십 만 명의 이재민이 발생된 일본 대지진 사건, 그리스 부도 위기, 이탈리아 국채 등급, 미국 국가 신용도 하락 등 불황에 빠진 세계 경제와 스티븐잡스 사망, 북한의 김정일 사망 등 많은 사건이 있었는데요, 스패머들은 이러한 사건, 사고를 놓치지 않고 스팸메일로 악용했다는 겁니다.

사회 공학적 기법을 통해 신뢰할 수 있는 발신자로 위장해 악성파일이나 악성코드를 유포했으며, 또 트랜드를 놓치지 않고 SNS 서비스를 이용한 스팸메일도 기승을 부렸던 것입니다.

스팸메일의 50% 이상이 비아그라와 같은 성인 약품 관련 메일로 가장 많았으며, 스팸메일의 본문에 1회성 URL을 사용해 클릭하면 사이트로 유도시키는 형태를 띄고 있었습니다. 2011년 초까지는 ".ru" 를 사용하는 URL이 메일 본문에 많이 사용되었으나 그 이후 부터는 ".ua", ".vn" 과 같은 우크라이나, 베트남 도메인의 사용이 점차 늘어나기 시작했으며, 러시아어, 중국어, 일본어 등 다양한 언어의 스팸 메일이 발견되기 시작했습니다.

이러한 메일들은 제품이나 회사의 홍보, 교육, 관광 등의 형태로 대부분 본문에 전화번호 또는 이메일 정보나 회사 정보 등만 기재해 놓는 단순한 방식의 스팸 메일이었습니다.

댓글