［헤럴드경제= 정태일 기자］통신사에서 고객에게 발송하는 이메일 명세서인 것처럼 눈속임하는 악성코드가 유포되고 있어 사용자들의 각별한 주의가 요구된다.

안랩은 최근 통신사 요금명세서로 위장, ‘***email201205_html.exe’ 형태의 파일을 첨부한 이메일이 발견되고 있다고 5일 밝혔다.

이 파일은 일반적인 윈도 환경에서는 ‘***email201205_html’로 표시된다. 이에 따라 사용자는 평소 받는 이메일 형태와 같아 첨부파일을 의심 없이 열어보기 쉽다.

안랩에 따르면 이번 메일은 특정 기관을 목표로 하지 않고 불특정 다수를 노린 것으로 추정된다. 해당 악성코드는 시작프로그램에 자동으로 등록돼 부팅 시마다 실행되며, 예약된 프로그램 목록에 추가돼 정해진 시간마다 악성코드가 동작한다.

이 악성코드는 중국에 위치한 특정 C&C서버(명령 및 제어 서버)와 통신하며 악성코드 제작자가 내린 임의의 명령을 수행할 수 있다.

안랩은 대응방법으로 메일을 보낸 주소가 공식적인 주소인지 반드시 확인해야 한다고 강조했다. 또 이전에 받아본 동일한 명세서 이메일과 비교하고, 원문에 포함된 광고나 해당 통신사의 링크를 클릭해 링크가 올바르게 작동하는지 확인해야 한다고 조언했다.

V3는 이번 악성코드를 ‘Trojan/Win32.Jorik’으로 진단한다. 이호웅 시큐리티대응센터장은 “특히 명세서를 보려면 각종 액티브X나 기타 프로그램을 설치하라는 메시지가 뜨는데 절대 함부로 클릭해선 안 된다”며 “사용자들은 백신프로그램을 필수적으로 설치하고 최신 엔진을 유지해야 한다”고 말했다.

killpass@heraldcorp.com