금융정보 수집 트로이목마 '드라이덱스' 유포 스팸메일 주의보

[미디어잇 노동균] 금융 정보를 수집하는 트로이 목마 ‘드라이덱스(Dridex)’가 수백만건의 스팸메일을 통해 대규모로 확산되고 있어 인터넷 사용자들의 주의가 요구된다.

시만텍에 따르면, 금융 정보 탈취가 주목적인 드라이덱스는 지난해 맹위를 떨친 금융 트로이 목마인 ‘다이어(Dyre)’와 함께 현재 활동 중인 금융 관련 트로이 목마 중에서 가장 위험한 유형에 속한다. 드라이덱스는 전 세계 40여개 지역의 300여 기업의 고객을 타깃으로 하고 있는 것으로 알려져 있다.

특히 10주 기준으로 최소 145건의 드라이덱스 스팸 공격 캠페인이 발견됐다고 시만텍은 분석했다. 공격 한 건당 시만텍이 차단한 메일은 평균 27만1019건으로, 이는 하루에만 발송되는 스팸메일이 수백만건에 달한다는 것을 보여준다.

드라이덱스 공격자들은 지속적으로 악성코드를 강화하고, 적법한 이메일로 위장하기 위해 다양한 방법을 쓰고 있다. 실제 드라이덱스 스팸 공격의 74%는 발신인 주소뿐만 아니라 이메일 본문에도 실제 기업명을 빈번하게 노출시켰다. 또한 대다수의 스팸 공격이 송장, 영수증, 주문서 등과 같은 금융 관련 이메일로 위장해 피해자들을 속였다.

 
시만텍은 작년 한 해 다양한 지역에서 드라이덱스 감염이 탐지됐다고 밝혔다. 특히 미국, 영국, 호주와 같은 영어권 국가의 은행 고객을 표적으로 삼고, 영어로 된 스팸 공격 건수가 많아 해당 지역에서 높은 감염률을 보였다. 이러한 영어권 국가 외에도 유럽 및 아시아태평양 지역의 국가들도 공격자들의 타깃이 되고 있었으며, 한국에서도 감염 사례가 보고된 바 있다.
 
또한 시만텍은 현재도 활발한 드라이덱스 공격의 활동 수준을 볼 때 그 배후에 대규모 사이버 범죄 집단이 있을 것으로 내다봤다. 미 법무부는 동유럽의 몰도바(Moldova)와 그 외 지역에 있는 범죄자들이 드라이덱스 봇넷을 운영하고 있다고 밝혔다. 지난해 10월 국제 사법 당국의 공조로 한 관계자를 기소했고, 수천대의 드라이덱스 감염 컴퓨터를 고립시켜 봇넷의 제어를 차단하기 위한 연합 작전을 실시했음에도 불구하고 드라이덱스 공격은 여전히 활개를 치고 있다.
 
윤광택 시만텍코리아 제품기술본부 상무는 “한동안 스팸 공격이 감소 추세였으나, 최근 드라이덱스 스팸 캠페인이 전 세계적으로 확산되고 있고, 국내에서도 감염 사례가 확인돼 사용자들의 각별한 주의가 필요하다”며 “현재는 금융정보 탈취를 목적으로 하고 있지만, 언제든지 쉽게 목표를 수정해 공격할 수 있으므로 기업 및 개인 사용자들은 발신인이 불명확하거나 의심스러운 이메일은 즉시 삭제하고, 시스템 및 보안 소프트웨어를 최신 상태로 유지하는 것이 필요하다”고 말했다.

노동균 기자 saferoh@chosunbiz.com