얼마 전 왼쪽 그림과 같은 메시지가 휴대전화 메신저를 통해 확산된 적이 있었다. 안철수연구소장을 사칭한 바이러스 경보 메시지는 사실 안철수연구소와 아무 관련이 없다.
일명 혹스(hoax)라고 불리며 이메일이나 인터넷 메신저, 문자메시지 등에 거짓 정보나 괴담 등을 실어 사용자를 속이는 수법이다. 3~4년 전부터 안철수연구소 이름으로 이런 혹스가 돌고 있다.
비단 안철수연구소 뿐만 아니라 유명인을 사칭하여 악성코드를 유포하는 수법들은 늘 존재해 왔다. 특히 사람들의 관심이 쏠린 전 세계적인 이슈를 이용한 보안 위협이 꾸준히 발생했다.
2009년 마이클 잭슨의 사망 이후 ‘마이클 잭슨의 미공개 영상’으로 위장한 이메일이 네티즌들을 악성코드가 설치된 사이트로 유인했다. 마이클 잭슨의 사망 관련 동영상을 유튜브에서 볼 수 있다며 가짜 웹 사이트로 끌어들인 것이다. 이를 누를 경우 ‘Michael.Jackson.videos.scr’이라는 파일을 내려받게 되는데, 이것은 온라인 뱅킹 정보를 유출하는 ‘Banker’ 트로이목마의 변형이었다.
김연아 선수 동영상으로 위장한 악성코드는 2월 24일 동계 올림픽 금메달을 획득한 직후 발견됐다. 구글 검색 시 상위에 나온 동영상 파일 중 하나를 클릭하면 특정 웹사이트로 이동하며 ‘컴퓨터가 악성코드에 취약하다. 시스템을 검사하려면 OK 버튼을 누르라’라는 창이 뜬다. 여기서 ‘확인’을 클릭하면 가짜백신인 Windows Security Alert가 정상 파일을 악성코드라고 진단하며 비용 결제를 요구한다.
이외에도 올해 일본 대지진, 빈 라덴 사망 소식 등 굵직한 뉴스가 나올 때마다 네티즌의 호기심을 악용한 악성코드 유포 시도가 어김없이 발생했다.
이런 보안 위협들을 사회공학적 기법이라 부른다. 시스템이 아닌 사람의 취약점을 공략하여 원하는 정보를 얻는 공격 기법이다. 전 세계적으로 많은 관심을 모으는 사건, 사고 관련 정보로 위장해 사용자들을 유인하는 경우가 많다. 인터넷의 발달로 이메일, 인터넷 메신저, 트위터 등 접근 채널이 다각화됨에 따라 사회공학적 기법을 활용한 악성코드 유포 통로 또한 많아졌다. 악성코드를 이용해 허위 백신을 설치하게 하고 개인정보를 유출하는 등의 부작용이 많아 그 문제점이 심각하다고 할 수 있다.
이런 사회공학적 보안 위협들은 향후에도 지속적으로 나타날 것으로 보인다. 트위터, 페이스북과 같은 SNS를 이용할 때 확인할 수 없는 단축 URL의 클릭을 주의해야 한다. 아울러 윈도우 운영체제(OS) 및 인터넷 익스플로러, 오피스 제품의 보안 패치를 설치하고 보안 소프트웨어 업데이트를 정기적으로 실시해야 한다.
사회공학 기법을 이용한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지할 필요가 있다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오피스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다. 2. 자주 사용하는 컴퓨터 시스템에는V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다. 3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어를 같이 설치하는 것이 중요하다. 4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트하고 실시간 감시를 켜둔다. 5. 이메일에 첨부파일이 있을 경우 바로 실행하지 말고 저장 후 최신 엔진으로 업데이트된 백신으로 먼저 검사한 후 실행한다. 6. 이메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다. |
<기사제공 : 안철수연구소>
| |
| 안철수연구소 세일즈마케팅팀 백준현