[카스퍼스키] 2010년 2/4분기 스팸 리포트

본문 : http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=News&wr_id=585

개요

• 이메일 트래픽 총량 중 스팸이 차지하는 비중은 평균 84.4%에 달합니다.
• 피싱사이트 링크는 전체 이메일 중 0.02%에서 발견되었습니다.
• PayPal은 가장 잦은 피싱 공격 대상입니다. 현재까지도 소셜 네트워킹 사이트 페이스북은 다섯 번째로 많은 공격을 받고 있습니다.
• 스팸 이메일에 첨부된 그래픽은 전체의 10.3%로 증가했습니다.
• 이메일을 이용하는 스패머들은 비아그라를 광고하거나 악성 프로그램을 확산시키기 위해 소셜 네트워킹 사이트 혹은 이메일 서비스 공급자로부터의 합법적인 안내 메일로 보이도록 가장하였습니다.
• 미국과 인도, 그리고 베트남은 분기 내 가장 일반적으로 발견되는 스팸 발원지였지만 라틴아메리카에서 보내진 스팸메일의 비율 역시도 상당히 증가했습니다

 

스팸의 메일 트래픽 점유율

메일 트래픽에서 스팸이 차지하는 비율

 

2010년 2/4분기 동안 스팸의 메일 트래픽 점유율은 84.4%로 증가하였으며 지난 분기보다 0.8% 감소된 수치입니다. 가장 높은 수치를 기록한 날은 트래픽 점유율이 89.8%에 달한 4월 18일과 5월 9일이며, 4월 20일에는 79.2%로 분기 내 가장 낮은 수치를 기록하였습니다.

주로 5월 상반기에 메일 트래픽에서의 스팸 비율이 최대치를 기록한 것으로 보여집니다. 전형적으로 휴가 시즌에 합법적인 이메일의 양이 감소하는 경향이 있기 때문입니다.

 

스팸 근원지

지역에 따른 스팸 근원지

 
지역에 따른 스팸 근원지

 

아시아는 현재까지도 가장 많은 스팸 배포가 이루어지는 지역입니다. 4월에는 전체 스팸의 40.5%가 아시아 국가들에서 발생하였습니다. 2010년 4월부터 6월에 이르기까지 아시아 국가들은 전체 스팸 발생량의 32.8%가 배포된 발원지이며, 31.7%를 기록한 지난 1분기에 비하여 소폭의 증가세를 보이고 있습니다. 하지만 아시아에서 발생한 스팸의 양은 매월 감소하는 추세입니다. 한편, 남미 국가들로부터 수신되는 원치 않는 메일의 양은 확실한 증가세를 보이고 있습니다. 독자들은 기억할지도 모르겠지만 2009년, 남미를 근원지로 발생한 스팸의 양은 15%를 기록하였다가 2010년 1/4분기에 10.5%로 떨어졌습니다. 2010년 2/4분기에 남미에서 발생한 스팸의 총량은 1/4분기의 수치를 초과하였을 뿐만 아니라, 전체 수치의 16.3%가 라틴아메리카에서 발생함으로써 2009년 총량 역시도 초과하였습니다.

 

아시아와 라틴아메리카에서 발생한 스팸량의 변화 추이

 

2010년 1/4분기 동안 카스퍼스키랩은 아시아와 유럽의 스팸 발생량 사이만 비교한다면(동∙서유럽 및 러시아를 포함해서) 유럽 지역의 스팸 발생량은 더욱 높아질 것이라고 지적했습니다. 그러나 이번 분기에서 동유럽에서 발생한 스팸의 양은 5.5%가량 하락했습니다. 결과적으로 아시아는 스팸 최다 발생지로서의 독보적인 위치를 이어가고 있으며 유럽 전체의 스팸 발생량과 비교하더라도 마찬가지로 절대 우위를 점하고 있습니다.(아시아 32.8%, 유럽 31.5%).

 

국가별 스팸 발생지의 분포

 
스팸의 근원지가 되는 나라들

 

이번 상반기에서 인도가 전체 스팸 발생률의 8.5%로 꾸준히 2위 자리를 지키고 있을 때, 미국은 15%를 차지하며 새로운 선두그룹으로 떠올랐습니다. 두 계단 상승한 베트남은 차트의 세 번째 자리를 차지했습니다. 그러나 분기 내에서 각각의 위치가 정해진 데는 재미난 점이 많이 숨어있습니다. 4월, 미국과 인도, 그리고 베트남은 각각 12.3%, 11.7%, 그리고 11.6%로 막상막하의 수치를 기록했지만 5월 동안에는 미국이 전체 스팸량의 20.8%를 점유하며 완벽한 1위로 등극하게 되었습니다.

 

예상치 못하게 이탈리아(3.3%)와 스페인(2.8%)이 스팸의 10대 발생지에 이름을 올렸습니다. 지난 분기에 이들 국가들은 각각 14, 15번째로 차트의 낮은 위치를 차지하였습니다. 중국은 전체 스팸 발생률 중에서 단지 2.3% 만을 차지하며 스팸 발생지 TOP 10 내에 포함되지 않았으며, 카스퍼스키 랩은 중국 내에서 적용되는 엄격한 인터넷 관련법이 긍정적으로 작용한다고 믿게 되었습니다.

 

스팸 메일의 크기

스팸 메일의 평균 크기

 

5KB 혹은 그 이하의 스팸 이메일들이 주를 이루고 있습니다. 그러나 1/4분기와 비교했을 때 크기가 작은 이메일들은 다소 감소하였습니다. 그럼에도 불구하고 5KB이하의 이메일들은 여전히 모든 스팸 이메일의 절반 이상을 차지하고 있습니다. 아울러 5-10KB 범위 내에서의 스팸의 양은 소폭 증가하였습니다. 그 이유로는 많은 이메일들이 비아그라나 가짜 명품들의 스팸 광고를 보내기 때문이며, 이들 이메일들은 작은 그래픽 또는 임의의 텍스트 단락들로 구성되어 있기 때문입니다.

 

스팸이 메일에 첨부된 파일의 종류

 
스팸 이메일 속 각기 다른 형태의 첨부파일

 

2010년 2/4분기에서는 전체 스팸 이메일의 75.7% 가 포맷되지 않은 평범한 텍스트가 포함되어 있었고, 전체의 절반 이상이 HTML로 구성된 섹션을 포함하고 있었습니다. 처음으로 GIF포맷의 그래픽이 포함된 첨부파일이 10.1%를 기록하며 JPEG첨부파일의 수를 넘어섰습니다. 그러나 여느 때와 같이 많은 스팸 이메일들이 GIF와 JPEG첨부파일 모두를 포함하고 있었습니다.

 

전반적으로 그래픽이 들어간 첨부파일을 포함한 스팸의 비율은 10.3%였는데, 이것은 지난 분기에 비해 1.4%가 낮아진 수치입니다. 가장 많은 양의 그래픽을 사용한 스팸이 집계된 것은 4월이었으며 12.53%였습니다.

 

그래픽을 사용한 첨부파일이 포함된 스팸 이메일 수치

 

피싱

2010년 2/4분기에 피싱 이메일의 이메일 트래픽 점유율은 그다지 높지 않았습니다. 3월, 0.87%부터 0.3%까지 다소간의 감소세를 나타낸 이후 피싱 이메일 수치는 계속 떨어져 2010년 2/4분기 말에 전체 메일 트래픽의 0.2%만을 차지하였습니다.

 

e-money회사인 PayPal은 앞으로도 피싱 이메일의 가장 많은 공격 대상이 될 것입니다. 2/4분기 동안 모든 피싱 공격의 60.4%가 PayPal에 집중되었습니다. 6월, 피싱 공격 수치는 70%에 가까워졌습니다.

 

 
피싱 공격의 대상이 되는 TOP 10 기관들

 

이밖에 잦은 공격 대상이 되는 조직은 모든 공격들 중 9.39%에 해당하는 eBay를 포함하여 6.51%의 HSBC, 6.03%의 페이스북, 그리고 2.84%의 구글 검색 엔진입니다. 카스퍼스키랩은 피싱 메일 전송자들이 소셜 혹은 엔터테인먼트 관련 웹사이트에 점점 더 많은 노력을 기울이고 있다고 전했습니다. 페이스북 뿐만 아니라 MySpace, Orkut, Habbo 등의 소셜 네트워크 사이트, 그리고 WoW 나 Zynga와 같은 온라인 게임까지도 이들 공격의 타겟이 되고 있으며 STEAM 게이밍 서비스 역시도 대상이 되고 있습니다.

 

피싱 전송자들의 아킬레스건은 스팸 이메일 안에 포함된 링크들입니다. 피싱 전송자들이 스팸 이메일을 사용자가 믿도록 설득하는 동안 사용자가 이용하는 은행으로 사칭한 웹사이트쪽으로 이동시키는 링크를 사용자가 알아챈다면 해당 이메일을 무시할 것입니다. 그렇기 때문에 피싱 전송자들이 되도록이면 진짜와 흡사하게 메일을 만들어 그들의 링크를 감추려고 합니다.

 

 
합법적인 도메인 주소와 흡사한 피싱 링크가 포함된 이메일의 예시

 

지난 분기 동안 피싱 전송자들은 도메인 이름을 이용하여 피해자들의 보안정보에 침투하려는 시도를 해왔습니다:

 

 
guardianangels.co.za도메인으로 넘어가는 피싱 링크

 

스팸의 악성 첨부파일

2010년 2/4분기에 전체 메일의 1.87%가 악의적 메일이었고 이는 1/4분기에 비해 1.19%증가한 수치입니다. 아래차트에 올해 2/4분기의 가장 대표적인 악성 파일들을 열거하였습니다.

 

 
이메일 속의 가장 보편적인 악성파일 TOP 10

 

1위에 랭크된 악성파일은 Trojan-Downloader.JS.Pegal.g. 입니다. 이것의 변종인Trojan-Downloader.JS.Pegel.bc 는 7위를 차지하고 있습니다. 트로이목마 중 이러한 유형들은 자바스크립트로 쓰여진 시나리오들을 포함하고 있는 html 페이지들입니다. Trojan downloaders는 광고 컨텐츠와 사용자의 컴퓨터에 다운로드 되는 악의적 코드를 포함하고 있으며 인터넷상의 범죄 페이지로 재전송되도록 설계되었습니다. 재전송 되는 형태의 트로이목마는 모두 같은 방식입니다. 이 방식들 중 하나는 2/4분기의 주요 악성 파일들 중에서 6위를 차지한 Trojan.JS.Redirector.dz 입니다. Trojan.script.Iframer라 불리는 다른 트로이목마 역시 같은 방식으로 작동하며 9위에 랭크되어 있습니다.

 

아래에서 더 자세하게 다루게 될 6월 한달 동안 강력한 바이러스 공격들을 포함해 상위에 랭크된 모든 위협요소들은 기록해 볼 가치가 있습니다. 6월 공격에 앞서 이러한 이메일 위협들이 TOP 10에 나타나고 있습니다.

 

두 번째로 가장 일반적인 위협은 Trojan.Win32.Pakes.Krap.an 입니다. Win32.Krap.x로 포장된 유사한 형태의 Trojan은 지난 분기에 1위였습니다. 게다가Trojan.Win32.Pakes.Krap.an 와 Trojan.Win32.Pakes.Katusha.l 또한 Top 10에 랭크된 바 있습니다. 이것은 5위를 차지했으며, 유사한 프로그램들은 보통 컴퓨터의 안티바이러스 프로그램과 같은 형태로 포장합니다.

리스트의 3번째는 이메일 위협요소인 Trojan-Spy.HTML.Fraud.gen입니다. 이 트로이목마는 이전 분기에 2위를 차지하였고 마이크로소프트의 인터넷 익스플로러 5.x 와 6.x 버전의 취약한 점을 이용해 활동하는 것으로 밝혀졌습니다. 이 위협은 사용자가 웹사이트에 접속하는 비밀정보를 수집하도록 설계되었습니다.

 

악성 파일들은 광범위하고 다양한 형태의 제안들을 포함해 메일을 통해 퍼지고 있습니다. 이 제안들은 이메일이나 소셜 네트워킹 공급자들의 알림 메일을 사칭하여 유저들에게 업데이트를 설치하거나 비밀번호를 변경하도록 유도하며, 가짜 안부인사나 이메일 서비스 공급자로부터의 청구서로 착각하도록 만드는 형태입니다.

이들의 또 다른 전략은 표면상으로는 스캔들을 다룬 연예뉴스 아이템으로 위장한 제목을 사용해 가짜 이메일을 보낸다든지 아슬아슬한 옷을 입은 아름다운 여성의 사진과 같은 종류를 보냅니다. 바이러스 제작자들 역시 쓸만한 아이디어의 한계에 부딪혀 다음과 같은 간결한 이메일의 형태를 사용하곤 합니다:

6월의 강력한 공격

위에서도 언급했듯이, Trojan-Downloader.JS.Pegel.g의 공격은 6월에 가장 기승을 부렸으며, 이메일에 첨부된 모든 악성 파일 가운데 23.3%를 차지했습니다. 대량 메일링을 발송하는 변화된 형태의 공격은 모두 이 악성파일과 관련이 있습니다.

 

이메일은 소셜 네트워크나 이메일 공급자, 혹은 인기 있는 웹사이트-이를 테면 Facebook, Twitter, Digg, Amazon, Windows Live, YouTube, Skype, Wikipedia 로 부터 온 공지메일의 형태로 배포됩니다. 이들 이메일들은 피싱 공격 시도와 매우 흡사합니다. 그러나 만일 사용자가 링크를 클릭하게 되면 바로 해킹 사이트로 넘어가게 되어 사용자의 PC에 악성 스크립트가 다운로드 됩니다. 이후 이 스크립트는 사용자를 의약품이나 가짜 명품 광고 사이트로 향하게 합니다. 보통 하나의 링크를 악성 프로그래머의 사이트로 향하게 하는 것과는 달리 이 경우에는 여느 피싱 이메일과는 달리 모든 링크가 하나의 같은 사이트로 향하게 됩니다.

 

 

 
Pegel이 포함된 이메일의 예시. 상기 이메일의 링크는 사용자를 비아그라 광고 사이트로 유인함

 

대량 스팸의 가장 두드러진 특징은 이메일 속에 첨부파일이나 링크가 존재하여 이를 통해 사용자들을 Pegel, Iframe, 또는 Redirector가 포함된 웹사이트로 끌어들인다는 것입니다. 일단 사용자들의 판단이 흐려지면 자바스크립트는 사용자들을 사이버범죄 웹사이트로 끌어들입니다. 대부분의 경우에 이 복합적인 시스템은 피해자들을 비아그라나 가짜 명품을 광고하는 웹사이트로 끌어들이는 데 사용됩니다. 그러나 몇몇 경우에 목적지로 설정된 웹사이트들에는 Backdoor.Win32.Bredolab 을 포함한 악성코드가 심어져 있습니다. 지난해, 이와 유사한 사례가 사기꾼들에 의해 이용되었습니다.

 

기술적인 속임수

지난 분기 동안 다양한 의료 테마 스팸이 있었습니다. 앞서 언급하였듯이 전송하는 방법뿐 아니라 몇몇 경우에서 그래픽이 포함된 스팸이 이메일 바디 자체에 직접 다운로드 되는 형태를 발견할 수 있습니다. 이 이미지들은 잘 알려진 근원지들로부터온 전형적인 가짜 공지메일입니다:

 

 
트위터의 공지메일과 흡사하게 디자인 된 스팸 광고

 

위에서 보듯이 그래픽의 주된 링크 뿐만 아니라 ‘not my account’ 와 ‘twitter support’와 같은 다른 항목들도 마찬가지로 약품 판매를 위한 온라인 사이트의 스팸으로 이어지고 있습니다.

 

다른 제약사 테마의 메일들은 스패머들이 다양한 문학작품들 또는 신문 기사 속 텍스트의 일부분을 삽입해 이전의 스팸 필터들을 통과하도록 고안되었습니다. 광고 자체는 그래픽 자체로 눈에 띄는데, 이 그래픽은 공짜 호스팅 서비스로부터 다운로드 된 것입니다. 다행히도 이들 호스팅 서비스들은 이 이미지들 중 일정 부분을 차단합니다. 그리고 그 결과 사용자는 스패머들의 그래픽 대신에 스팸의 위험성에 대한 경고를 보게 됩니다.

 

 
비아그라 스팸 광고의 예시와 호스팅 서비스에 의해 차단된 그래픽이 나타난 이메일

 

게다가 몇몇 케이스들에서는 스패머들이 사용자들에게 전송되어야 할 URL을 훔쳐가려는 속임수를 시도했습니다. 지난 분기 내내 스패머들은 구글의 번역 서비스를 이런 목적으로 이용하였습니다. 해당 링크는 다음과 같습니다:

 

http://www.google.com.et/translate?js=y&prev=_t&u=http %3A%2F%2F*****.info&sl=auto&tl=en

 

보이는 것처럼 필터를 빠져나가기 위해 몇몇 스팸 링크들은 붉은색으로 강조된 ASCI 코딩을 사용하였습니다. 만일 쉽게 속아넘어가는 사용자라면 스팸 웹사이트로 들어가기도 전에 이미 링크를 따라가 번역 서비스의 헤더가 디스플레이 된 웹 페이지의 첫머리를 보게 될 것입니다

 

스팸 유형

 
스팸 유형의 분포

 

2010년 2/4분기의 가장 흔한 스팸 유형은 교육이었습니다. 이 카테고리에는 다른 교육 과정과 학회의 권장사항이 포함되어 있습니다. 건강/약품과 관련된 스팸은 지난 3달간 여행/관광 유형에 밀려 2위 자리에서 밀려났습니다. 4월에 이 카테고리는 21.1%까지 도달했으나 최근 이러한 타입의 이메일들은 현저히 줄어들었습니다.

 

여행/관광 카테고리의 이메일 비율

 

분기 내내 카스퍼스키랩은 스팸들 중 사기성 이메일이 증가하였음에 주목하였습니다. 6월, 컴퓨터 사기를 위한 스팸은 14.5%에 달했으며 그 중 대부분이 비아그라 광고사이트들로 연결되도록 전송된 트래픽이며 소셜 네트워크로부터의 가짜 공지메일의 모양새를 갖추고 있습니다. 이러한 타입의 메일링은 위에서 언급한 바 있습니다.

 

컴퓨터 사기성 스팸의 비율

 

의약품 및 의학 카테고리는 지난 분기 동안 3위 자리를 차지했습니다. 한편으로는 컴퓨터 사기와 관련한 카테고리에 비아그라 광고를 위한 이메일들이 포함되었기 때문일 수 있으며 다른 한편으로는 지난 분기와 비교하였을 때 교육이나 여행, 관광 및 기타 상품과 서비스들에 관련된 카테고리 역시도 증가하였다는 중요한 사실 때문이기도 합니다. 전반적으로, 각각의 스팸 카테고리들는 ‘제휴’스팸이 감소세를 보이며 전형적인 ‘합법적’스팸의 수치가 상승하였고, 이로서 위기상황이 일단락되었음이 입증되었다는 것입니다.

 

월드컵

스패머들은 월드컵을 홍보할 기회를 놓치지 않습니다. 그러나 독자들은 우승컵의 유명세를 이용하려는 스팸은 사실상 상당히 작은 규모의 이벤트라는 것을 알아채야 합니다. 여전히 현재 가장 이슈가 되는 토픽들이 순진한 사용자들을 유혹하는 데 사용되며, 이들 사용자들은 자기도 모르는 사이에 악성프로그램을 퍼트리려는 목적의 사기음모에 가담하게 됩니다. 월드컵에 대해 언급하고 있는 이메일의 대부분이 이른바 ‘나이지리아인의 편지’라는 제목을 사용하거나 로또에 당첨되었다는 가짜 공지메일의 형태이며 이들 중의 일부는 악성 프로그램을 포함하고 있습니다.

 

 

 
월드컵의 열기를 이용하려는 이메일의 예시

 

첫 번째 예시에서는 첨부파일이 이메일 본문 그 자체에 포함되어 있는 것을 볼 수 있으며 이는 로또에 당첨되었다는 가짜 공지입니다. 누구든지 두 번째 이메일의 첨부파일을 열게 된다면 그리 운이 좋은 편은 아닐 것입니다. HTML 첨부파일에 포함된 Trojan.JS.Redirector.dw 스크립트가 사용자들을 사이버범죄 사이트로 이동시킵니다.

 

결론

2010년 2/4분기에 아시아와 라틴아메리카에서 보내진 스팸은 모든 스팸 트래픽의 절반 이상을 차지했습니다. 일찍이 카스퍼스키랩은 이들 스팸 근원 지역의 변화를 지적한 바 있습니다. 이제 카스퍼스키랩은 다소간의 확실성을 가지고 향후 상황을 예측할 수 있습니다. 이러한 상황은 아시아와 라틴아메리카에서의 효과적인 법 제정에 일정 부분 기여하며, 정보 보안 이슈의 대중적인 무시를 유발하는 컴퓨터 및 인터넷 활용능력의 저하와도 밀접한 관련이 있습니다. 보호되지 않은 컴퓨터들은 감염의 위험에 가장 많이 노출되어 있으며 이후 Botnet에 통합됩니다.

 

PayPal은 피싱 공격의 가장 잦은 타겟이 되는 조직입니다. 그러나 소셜 네트워크 피싱 공격의 막강함의 진수를 경험하고 있는 페이스북을 비롯하여 기타 여러 소셜 네트워킹 사이트들 역시도 스패머들의 타겟이 되었습니다

 

카스퍼스키 랩은 스팸의 범죄화와 스패머, 사기범죄자, 바이러스 제작자 간의 협력에 대해 자주 언급한 바 있습니다. 2010년 2/4분기 중, 이와 같은 추세는 6월에 발생한 스팸 메일링 사태에서 명백히 드러납니다. 스팸 이메일들의 고전적인 피싱 전술은 소셜 네트워크나 이메일 서비스 공급자로부터의 공지 메일과 완전히 동일한 복사본을 만드는 것이었습니다. 더욱이 이메일 속의 링크를 클릭함으로써 사용자들은 비아그라나 가짜 명품을 광고하는 웹사이트에 접속하거나 이따금 악성프로그램이 심어진 사이트에도 방문하게 됩니다. 이러한 유형의 음모는 이미 일상다반사에 지나지 않으며 앞으로도 높은 증가세를 보이게 될 것입니다.

 

카스퍼스키 랩은 인터넷사용자들에게 스팸 이메일 속의 링크를 클릭하지 않기를 다시 한 번 조언합니다. 설치된 소프트웨어가 업데이트가 되면 가능한 바로 업데이트를 진행하고 정기적으로 사용자의 안티 바이러스 프로그램을 업데이트 하는 것을 강력히 권고합니다.