스팸메일을 발송하는 악성코드 감염 주의보
2009/06/24 23:14
출처1: http://www.krcert.or.kr
Netsky, Waledac 등과 같이 스팸메일을 발송하거나 이메일을 통해 전파되는 악성코드로 인한 피해사례가 발생하고 있어서 이메일 사용자 및 시스템 운영자의 주의가 요구되고 있습니다.
▶ 감염경로
수신한 이메일의 본문 또는 첨부된 파일의 열람만으로 악성코드가 PC에 설치되어, 컴퓨터에 저장된 자료파일 또는 키보드 입력 내용이 절취될 수 있습니다.
▶ 예상 피해
설치된 악성코드는 감염 PC에서 수집한 이메일 계정 정보를 이용하여, 스팸메일을 발송하거나 악성코드가 첨부된 메일을 발송함으로써 추가 피해를 일으킬 수 있습니다. 이메일의 본문 열람시, 피싱(Phising) 공격 목적으로 위장 개설된 온라인금융 또는 전자상거래 사이트에 자동으로 접속될 수도 있어, 금융거래정보 등 개인정보의 절취 피해가 발생 가능합니다. 악성코드의 메일 발송으로 인하여 네트워크 상의 이메일 발송량이 증가하며, 이에 따라 DNS MX 쿼리도 증가합니다.
지난 19일부터 인터넷 소통량 중 도메인 네임 서버(DNS)에 접속하는 트래픽이 급증하고 있다고 합니다. 지난 2003년 1.25 인터넷 대란의 원인이 접속 과다로 인한 DNS 서버 다운이었던 점을 감안할 때, 향후 제2 인터넷 대란으로 이어질 가능성도 배제할 수 없는 상황입니다. KISA 상황관제팀 신대규 팀장은 "각 ISP별로 차이가 있지만, DNS 접속 트래픽의 양이 평소 대비 20% 증가했다"며"지난 19일부터 이상 현상이 감지돼 상황 분석에 나섰으며, 웜 변종 등 악성코드로 인한 PC 감염이 원인인 것으로 추정된다"고 말했다고 합니다.
▶ 대응방안
1. 일반 사용자
1) MS 윈도우, 백신프로그램 등의 최신 보안업데이트 적용
2) 출처 불분명 등 의심스런 이메일의 경우 열람 자제
3) 안전한 이메일 사용을 위해 스크립트 필터링 또는 백신점검 기능 등이 포함된 메일 서비스 사용
2. DNS 시스템의 운영담당자
1) 악성코드로 인하여 스팸메일이 늘어날 경우, 메일을 보내기 위한 DNS MX 쿼리도 함께 증가하므로 전체 DNS 쿼리와 함께 MX 쿼리에 대한 모니터링 필요
3. 이메일 시스템의 운영담당자
1) 이메일을 통한 악성코드 전파 차단을 위하여 백신필터링 적용 및 HTML 등으로 작성된
웹 문서를 처리하지 않도록 `<` 및 `>` 필터링을 통해 HTML 등의 태그 실행을 차단
2) 상기 조치 적용이 어려운 경우, 아래와 같은 코드들의 필터링을 통해 위험 가능성이 있는
스크립트의 실행을 각각 차단
'<script' , '<style' , '<img', '<iframe', '<input', '<bgsound',
'<script' , '<style' , '<img', '<iframe', '<input', '<bgsound',
'<div', 'style=', '<base', '<object', '<embed'
3) 이용자의 편의성 여부와 안전한 이메일 서비스 제공 등을 고려하여 운영담당자가 정책결정 필요
※ HTML 태그 및 스크립트 차단을 적용할 경우 이미지표시나 일부기능이 동작하지 않으므로
이에 대한 고려 필요
Trackback Address:http://wsecurity.cafe24.com/trackback/110