가끔 회사일을 하다 보면, 실제로는 스팸메일이 아님에도 스팸메일로 분류되어 있는 경우가 종종 있습니다. 오랜만에 스팸메일을 열어봤더니 아래와 같이 "invoice 586768584 over due"라는 메일이 와있더군요. 지난 분기에 회사 예산으로 물품을 구입한 부분이 있고, invoice가 제대로 처리되지 않아서 다소 급하게 처리하느라 제법 신경 쓰였기에 저도 모르게 메일을 클릭해버렸습니다.
클릭하고 나서 잠깐 생각해보니 회사 메일이 아닌 개인 메일로 invoice 관련 메일이 전송될 리가 없다는 생각이 들었습니다. 이상한 기운이 느껴졌습니다. 악의적인 의도를 가진 메일을 직감했습니다. 메일을 통해서 나에게 피해를 줄 수 있는 방법은 여러 가지가 있겠습니다.
- 협박을 통해서 특정 계좌로 현금이나 비트코인을 입금하게 하는 경우
- 악성코드를 설치해서 내 PC의 정보를 유출하는 경우
- 랜섬웨어를 설치해서 내 PC의 파일을 암호화한 뒤 복호화를 빌미로 비용을 요구하는 경우
이번 경우는 2번이나 3번에 해당하는 메일인 것 같습니다. 다행히 텍스트로만 구성된 메일 본문만으로는 악성코드를 설치하기 어렵겠습니다. 첨부파일을 실행해야만 악성코드든 랜섬웨어든 동작을 시작하게 되겠지요.
[다음 메일에서 바이러스를 탐지함]
설사 다운로드를 한다고 하더라고, 실행만 하지 않는다면 괜찮을 것이라는 생각이 들었습니다. 그래서 다운로드 버튼까지는 눌러봤더니 아래처럼 Daum 메일에서 첨부파일에 바이러스가 발견되었다고 알려주는군요. 무료 메일 서비스가 첨부파일의 바이러스까지 감지해주다니 참 놀랍네요.
바이러스 명은 Trojan/Win32.Lokibot이라는 바이러스네요. 친절하게 바이러스를 치료하고 실행하는 게 좋다고 가이드까지 줍니다. 훌륭한 다음 메일 서비스네요.
안랩 홈페이지에 접속하시면 Trojan/Win32.Lokibot 바이러스의 정보를 확인할 수 있습니다. 윈도즈에만 피해를 입히는 바이러스입니다.
www.ahnlab.com/kr/site/securityinfo/asec/asecCodeView.do?virusSeq=35766&tabGubun=1
[네이버 메일에서는 바이러스를 탐지하지 못함]
Daum 메일에서는 해당 바이러스를 제대로 검출했습니다. 그렇다면 네이버도 이 바이러스를 검출할 수 있는지 확인해보기 위해서 제 네이버 메일로 전송해봤습니다.
네이버 메일로 전송한 이후에 다시 다운로드를 시도해보니 별다른 경고 메시지가 뜨지 않더라고요. 분명 "파일 저장 시 바이러스 검사 자동 수행"이라고 쓰여 있는데 말입니다. 이 부분만 보면 Daum 메일의 바이러스 검사 시스템이 Naer 메일의 바이러스 검사 시스템보다 성능이 좋네요.
[실제로 다운로드 이후 압축을 해제해보니]
이번에는 실제로 다운로드해서 압축을 해제해봤습니다. 압축을 해제하자마자 "invoice 586768584 over due"라는 파일이 생성되자마자 바로 삭제되었습니다. McAfee Endpoint Security라는 프로그램에서 해당 파일을 바로 삭제하네요. Daum 메일에서 1차적으로 바이러스를 걸러주고, 2차적으로 Anti-Virus 프로그램에서 또 한 번 걸러주는 것 같네요.
[끝맺음 말]
여러분들도 혹시나 "invoice 586768584 over due"라는 메일을 받으시면 첨부파일을 다운로드하시지 마시고 그냥 삭제하시기 바랍니다. 메일을 수신하시고 실행하기 전에 검색을 해보시고 이 페이지에 들어오셨다면 참 잘하신 일입니다.
이상입니다.