랜섬웨어 첨부파일 담은 경찰청 출석통지서, 헌법재판소, 저작권 안내 메일

메일로 낚시하는 랜섬웨어, 악성코드

저는 제 티스토리 상단 프로필의 메일 주소에서 도메인을 한글로 적어두었습니다.


메일 주소 전체를 그대로 공개해 놓을 경우 로봇을 통해 이메일을 긁어가 스팸 메일들이 쏟아져 들어오는 것을 알고 있었기에 취한, 나름의 예방조치였습니다.


그런 조치 덕분(?)이었는지, 그간 스팸메일은 좀 적게 들어오는 편이었습니다.


요즘은 한글로 적어둔 주소쯤은 자동으로 번역된다는 얘기를 듣기도 했기도 했고, 스팸 메일이 아예 없는 것은 아니었지만 포털의 메일 계정으로 들어오는 것보다는 월등히 적은 편이었습니다.

컴터맨 블로그 프로필


그런데 최근 제 티스토리 메일 주소로 랜섬웨어를 첨부한 스팸메일들이 도착하기 시작했습니다.


경찰청, 헌법재판소(응??), 저작권 관련 등등 그동안 온라인 상에서만 봐왔던 메일이 제 티스토리 메일로도 들어오는군요.

랜섬웨어 악성코드 스팸메일

경찰청 온라인 명예훼손 출석통지서

경찰청에서 보냈다는, '온라인 명예훼손 출석 통지서 61-000275' 메일을 열어보면, 제가 온라인 명예훼손으로 고소가 되었고, 조사를 위해 진술서를 작성해 출석하라고 되어 있습니다.

경찰청 온라인 명예훼손 출석통지서


붙임: 항목에 출석 요구서 1부라고 적혀 있지만 첨부파일은 없었고, [출석통지서 확인] 버튼 위에 커서를 옮겨보니 특정 URL로 연결됩니다.

경찰청 명예훼손 출석통지서 메일 첨부파일

보통 이런 온라인 명예훼손 관련 출석통지서 메일에는 실행 파일(.exe)을 숨긴 첨부 파일이 들어 있고, 이 첨부 파일을 실행하면 랜섬웨어에 감염시키는 방식인데, 좀 달라진 듯 합니다.


일단 '경찰청', '온라인 명예훼손', '출석통지서'라는 식의 메일을 보면 내가 달았던 댓글때문에 실제 누가 고소를 했나? 생각하고 첨부 파일을 열고 실행하기 쉽습니다.


하지만 경찰은 출석통지서를 이메일로 전달하지 않습니다.


실제 고소가 접수되어 통보를 하는 경우에는 등기우편이나 전화 등의 수단을 이용하니 이런 이메일을 받으면 열지말고 삭제하는 것이 좋습니다.

헌법재판소 판례???

느닷없이 헌법재판소에서 보냈다는 메일이 도착하여 열어보니, 다짜고짜 헌법재판소로 출두하라고 하는군요.

헌법재판소 판례 랜섬웨어


내용에는 헌법재판소로 출두하라고 되어 있는데, 밑에는 또 경찰서 출두 날짜가 적혀 있는 등 매우 허술한(?) 랜섬웨어입니다.

헌법재판소 판례 아카이브 비밀번호


첨부 파일없이 도착했던 경찰청 메일과는 달리, 헌법재판소 메일에는 첨부 파일이 있어서 압축 파일을 열어보니 rar 형식의 압축파일이네요.


이 첨부 파일에는 명예훼손 출석 요구서.doc라는 워드 문서형식 뒤에 바로 exe 확장자가 붙은 실행 파일로 정상적인 파일이 아님을 쉽게 확인할 수 있습니다.

랜섬웨어 첨부파일 실행파일

포털의 메일 계정들이 ZIP 형식의 압축 파일들은 자체 검사를 통해 걸러내는터라 요즘은 RAR, ALZ, EGG 등의 압축 형식으로 첨부한다고 합니다.


굳이 압축파일에 비밀번호까지 걸어두고, 메일 내용에 '아카이브의 비밀번호'라는 항목으로 압축 비밀번호를 적어둔 것 역시, 포털 메일 서버의 검색을 피하기 위한 것으로 보입니다.


당연히 랜섬 웨어로 생각은 들었지만, 압축 파일의 압축을 해제해보니, 제가 사용 중인 노턴 시큐리티에서 바로 악성코드임을 인지하고 차단하고 있습니다.

노턴 시큐리티 악성코드 탐지

저작권관련 안내 메일

헌법 재판소에서 온 출석통지서가 매우 어색하고 허술하게 느껴지는 반면, 오늘 도착한 저작권 관련 메일은 한국사람, 혹은 한국어에 매우 능통한 사람이 작성한 듯 매우 매끄러운 내용으로 적혀 있습니다.


'제가 쓰고 있는 이미지가 저작권이 있는 것이고, 법적 이야기를 하려고 메일을 보낸 것이 아니라, 단지 그냥 사용을 금해주셨으면 한다'는 식의 매우 부드럽고 매끄러운 내용입니다.

저작권 관련 안내메일


역시 암호가 걸려 있는 RAR 형식의 압축 파일을 보내왔는데, 압축 파일의 암호는 깜빡 잊었는지 보내지 않았습니다.

저작권 관련 안내메일 첨부 파일

그리고 파일 목록을 보면 PDF 형식의 문서 파일로 보이지만


파일 이름 위에 커서를 올려보면, 빈 칸을 잔뜩 넣은 실행 파일임을 알 수 있습니다.

저작권 관련 안내메일 첨부 파일 악성코드

제목만 검색해 보면 진위(?) 여부 판단 가능

몇 년전에는 안드로이드 스마트폰에 파일 설치를 유도하는 문자 메시지들이 가끔 도착하곤 했습니다.

2014/01/13 - 스미싱 문자로 악성앱이 깔리는 과정, 스미싱 문자 신고 방법은?


최근에는 이런 문자 메시지들은 거의 사라졌다 싶을 정도로 잠잠한 반면 PC에 저장된 파일, USB나 네트워크로 연결된 저장장치를 노리는 랜섬웨어 메일들이 기승을 부리고 있습니다.


제가 최근 받은 경찰청, 헌법재판소, 저작권 관련 메일 이외에도 범칙금 통지서, 배송지가 잘못되었다는 택배 업체의 메일 등 다양한 형태로 메일이 발송되고 있습니다.


저는 메일 제목이나 내용, 메일 발신인의 주소 등 전반적인 내용을 보고 악성코드가 담긴 메일임을 판단해왔고, 대부분 내용이나 형식이 매우 허술하고 번역기를 돌린 어색한 한글 문장 등으로 쉽게 판단할 수 있었습니다.


하지만 저작권위반 관련 메일은 대단히 매끄럽고 지능적이었는데 어쨌든 첨부 파일은 함부로 열지 않아야 하며, 뭔가 좀 이상하다 싶으면 메일 제목을 검색해보는 것도 좋은 방법입니다.


제가 받은 온라인 명예훼손 출석통지서 61-000275를 검색해보니 숫자까지 똑같은 페이지들이 무더기로 떴으며

온라인 명예훼손 출석통지서 구글 검색 결과


저작권을 침했다며 친절한 말투로 보냈던 메일 역시 제목을 검색하니 보낸 사람의 이름만 바뀐, 같은 내용의 메일이 많이 검색됩니다.


특히 이 친절한(?) 저작권 안내 메일은 블로거들에게 집중적으로 뿌려지고 있다고 하니 블로거들은 특히 주의가 필요합니다.

저작권관련 메일 구글 검색 결과

물론 이렇게 메일로, 첨부 파일 실행을 유도하는 랜섬웨어에 주의하는 것 뿐 아니라 토렌트 사이트, 웹툰 모음 사이트 등 웹사이트를 통해 감염되는 경우도 자주 보고되고 있으니 웹서핑시에도 주의가 필요합니다.


저는 원고 작성 문서 파일들, 블로그 자료 사진 등 중요한 자료들을 3중으로 백업해 두고, 그 중 2대는 사용할 때만 컴퓨터에 연결하고 평소에는 컴퓨터에서 분리해 두는 등의 예방 조치를 취하고 있습니다.


가끔은 좀 번거롭고 귀찮다는 생각이 들기도 하지만, 최근 부쩍 늘어난 랜섬웨어 피해 사례들을 보면서 결국 조심하는 것이 최선이라는 생각을 하게 됩니다.


이 글을 공유하기

댓글 :: 질문 댓글은 공개글로 달아주세요. 특별한 이유없는 비밀 댓글에는 답변하지 않습니다

Designed by JB FACTORY