최근 지인을 사칭하거나, 사회적으로 민감한 이슈를 주제로 호기심을 유발하는 등 이메일로 악성코드를 유포하는 수법이 날로 지능적으로 진화하면서 구글, 네이버 등 인터넷 서비스 기업들도 대응에 발벗고 나섰다.

랜섬웨어, 피싱 등 이메일을 통한 보안 위협이 날로 지능화되면서 이메일 서비스도 보안 기능을 강화하고 있다. / 트렌드마이크로 제공
랜섬웨어, 피싱 등 이메일을 통한 보안 위협이 날로 지능화되면서 이메일 서비스도 보안 기능을 강화하고 있다. / 트렌드마이크로 제공
랜섬웨어를 비롯해 개인정보 탈취 목적으로 유포되는 악성 이메일은 주로 수신자가 첨부파일을 실행하도록 유도하는 방식을 취하는 만큼, 악성 행위를 할 수 있는 파일 첨부를 사전에 차단함으로써 사용자 피해를 예방하고 자사 서비스의 신뢰도를 높이기 위함이다.

지메일(Gmail)을 서비스하고 있는 구글은 2월부터 이메일 작성 시 자바스크립트(.js) 파일을 첨부하지 못하도록 하는 조치를 취했다. 자바스크립트는 웹 브라우저를 기반으로 실행되는 프로그래밍 언어로 웹 문서를 동적으로 만드는데 주로 사용되는데, 최근에는 랜섬웨어 공격자들이 가장 애용하는 파일 형식이기도 하다.

자바스크립트 기반의 랜섬웨어로는 지난해 국내에서 랜섬웨어 대란의 포문을 연 '록키(Locky)'가 대표적이다. 자바스크립트 자체는 정상적인 프레임워크 파일이기 때문에 당시 이를 악용한 악성코드를 보안 솔루션이 탐지하기 쉽지 않았고, 윈도는 물론 맥 OS X, 리눅스 등 다양한 운영체제(OS)에서 작동하기 때문에 파급력이 더 컸다. 현재는 대부분의 보안 솔루션에서 알려진 자바스크립트 기반의 악성코드를 탐지하고 있다.

구글은 기존에도 지메일에서 정해진 명령을 수행하도록 프로그래밍된 배치파일(.bat)이나 프로그램 실행파일(.exe, .com)을 비롯해 악성 행위를 수행할 수 있는 형식의 파일 첨부를 차단했다. 지메일에서는 실행파일 외에도 도움말(.chm), 바로가기(.lnk), 화면보호기(.scr) 등 윈도 내에서 특정 기능을 수행하는 형식의 파일은 첨부할 수 없다. 이번 자바스크립트 파일의 첨부 제한 조치는 랜섬웨어 이슈에 대응하기 위한 것으로 풀이된다.

네이버도 지난해부터 메일 서비스에서 악성코드나 바이러스의 확산을 막기 위해 자바스크립트를 포함한 일부 파일 형식은 첨부해 보내거나 받을 수 없도록 조치했다. 2016년 5월 인터파크가 해킹으로 회원 개인정보 2500만건을 유출한 사고가 발단이 됐다. 당시 인터파크의 한 직원은 가족을 사칭한 해커가 가족사진으로 만든 화면보호기라며 네이버 메일로 보낸 첨부파일을 내려받아 실행하면서 침투의 빌미를 제공했다.

네이버 메일은 자바스크립트를 비롯해 악성코드로 악용되는 주요 파일을 첨부할 수 없도록 제한하고 있다. / 네이버 제공
네이버 메일은 자바스크립트를 비롯해 악성코드로 악용되는 주요 파일을 첨부할 수 없도록 제한하고 있다. / 네이버 제공
최근에는 많은 컴퓨터 사용자들이 무분별한 프로그램 설치의 위험성을 인지하기 시작하면서 이중 확장자로 파일 형식을 위장하는 수법이 쓰인다. 윈도 탐색기에서 확장자 숨김 처리가 기본으로 설정돼 있는 점을 악용해 문서.doc.exe나 사진.jpg.lnk와 같이 이중 확장자로 아이콘을 위장하는 식이다.

확장자 파일은 탐색기에서는 문서나 사진 등 정상적인 파일로 보이지만, 실제로는 실행파일이거나 다른 경로에 있는 실행파일로 연결되는 바로가기 파일인 경우가 대다수다. 공격자는 악성 파일의 정체를 숨기기 위해 파일을 압축해 첨부하기도 하는데, 지메일과 네이버 메일에서는 압축 파일 내에 차단 목록에 있는 파일이 있어도 차단되도록 하고 있다.

프로그램 개발자 등 자바스크립트나 민감한 파일을 자주 주고받는 사용자라면 별도의 클라우드 서비스에 파일을 저장하고 다운로드 링크를 공유하는 편이 보안 측면에서 안전하다. 단, 카카오에서 서비스하고 있는 다음 메일은 현재까지 첨부파일 형식에 제한 없이 이메일을 주고받을 수 있어 사용자 스스로 주의를 기울일 필요가 있다.