한진·CJ택배 사칭 갠드크랩 랜섬웨어, 이메일·문자 동시 유포

갠드크랩 랜섬웨어, 한진택배와 CJ대한통운 사칭해 메일과 문자로 유포

[보안뉴스 김경애 기자] 한진택배를 사칭한 악성메일이 보안전문가, 언론 등 특정 타깃을 대상으로도 유포된 정황이 포착됐다. 게다가 마트폰 이용자를 노린 스미싱도 줄줄이 탐지되고 있는 것으로 드러나 이용자들의 세심한 주의가 필요하다. 특히, 택배 사칭 랜섬웨어를 보면 과거 기승을 부리던 스미싱이 연상되고 있다.

▲힌진택배를 사칭한 악성메일 화면[이미지=보안뉴스]

보안업계 관계자는 “한진택배를 사칭하고 있는 공격자가 스마트폰을 노린 스미싱부터 악성메일까지 다양한 채널을 이용해 랜섬웨어 감염을 확산시키고 있다”고 말했다.

유포되고 있는 한진택배 사칭 악성메일을 살펴보면 ‘한진택배 배송관련 안내(배송팀 김지훈)’이란 제목으로 ‘배송장(한진택배)’ 파일명으로 .egg 확장자의 압축파일로 첨부하고 있다.

메일 내용을 살펴보면 공격자는 ‘고객님의 물품이 5월 11일 저희 한진택배 사무실에 배송완료되었다’며 ‘보낸자의 전화번호와 주소를 잘못 기재돼 배송직원이 직접 전달할 수 없다. 물품을 받기 위해선 첨부파일의 영수증과 배송장을 출력해야 한다’며 첨부파일을 열어보도록 유도하고 있다.

스미싱의 경우는 CJ대한통운을 사칭해서도 유포되고 있다. 발견된 스미싱 원문을 살펴보면 공격자는 ‘[CJ대한통운]상품 배송불가(도로명불일치)주소지를 확인’하라며 이용자가 링크를 클릭하도록 유도하고 있다.

이러한 가운데 해당 스미싱에도 갠드크랩 랜섬웨어를 유포하기 위해 악성파일로 연결되는 링크가 발견돼 주목되고 있다.

▲악성파일로 연결되는 온라인 화면[이미지=제로써트]

이와 관련 위협정보를 공유 및 서비스하는 제로써트 측은 “doc.php 링크와 관련해 갠드크랩 악성코드 유포 활동이 잠시 소강 상태를 보이고 있다”며 “악성파일로 연결돼야 하는데 링크만 온라인이고 악성파일 콘텐츠가 없다”고 분석했다.

하지만 최근 들어 저작권 위반, 교통범칙금, 택배 등 다양하게 사칭하고 있는 만큼 각별한 주의가 필요하다. 이용자들은 랜섬웨어에 감염되지 않도록 사전 예방 차원에서 백신과 OS, SW 프로그램 등을 최신버전으로 업데이트해 유지하는 것이 바람직하다.

이러한 가운데 한국인터넷진흥원은 대응방안으로 △윈도우 등 OS 및 사용 중인 프로그램의 최신 보안업데이트 적용 △신뢰할 수 있는 백신 최신버전 설치 및 정기적으로 검사 진행 △불필요한 공유폴더 연결 해제 △출처가 불분명한 메일 또는 링크의 실행 주의 △파일 공유사이트 등에서의 파일 다운로드 및 실행 주의 △중요 자료는 네트워크에서 분리된 저장장치에 별도 저장하여 관리 △이상 징후 포착 및 침해사고 발생시, 한국인터넷진흥원 인터넷침해대응센터(KISC)로 즉시 신고할 것을 당부했다.

또 다른 보안전문가는 “일상생활에서 택배는 매우 흔한 이슈가 되다 보니 해커들도 이를 이용해 랜섬웨어를 유포하고 있다”며 “첨부파일이 egg 압축형태일 때는 절대 열람하지 말고 보안업체나 KISA 등에 신고해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다