요즘들어 정부기관사칭 스팸메일이 자주 온다.

최근 들어 명예훼손 또는 저작권 침해 고소로 인해 출두해야 한다거나, 세금 체납으로 세종시로 출두해야 한다는 메일 등이 자주 온다. 

당연히 해킹을 목적으로 한 악성 메일이겠지만.. 예전에는 인도놈들이 자주 보내더니 최근에는 발송지의 패턴이 약간 바뀌었다. 

 

대한민국 정부인척 하면서 RAR 압축파일을 첨부파일로 보냈다. 4월 2일 까지 출두해야 한다고 하면서 메일은 4월 9일에 발송했다. 

 

 

 

한메일에 있는 메일 원문보기를 하면 메일을 발송한 사람의 IP 주소를 확인할 수 있다. 

 

메일 원문보기를 하니 메일을 발송한 사람의 IP 주소는 193.0.178.49 라는 것을 알 수 있었다. 

 

맨 앞자리가 자주 접하지 않았던 번호라서 해외에서 발송했다고 추정할 수 있다. 

 

(국내 아이피도 아닌 해외 아이피에서 대한민국 정부를 사칭하여 메일을 보낸 것임)

 

 

 

RIPE(https://www.ripe.net/) 에서 해당 IP 를 조회해 보니 네덜란드에 할당된 IP 주소라는 것을 알 수 있다. 

 

관리자 이메일은 info@leadertelecom.ru 로 되어 있는 것으로 보아, 발송자는 러시아의 인터넷 회사의 서비스를 이용중인 것 같다. 

 

 

 한국 인터넷진흥원에서 제공하는 후이즈 검색에서 이메일의 도메인인 shopup.info 를 검색해 보면, 2018년 7월 12일에 누군가가 도메인 사용권한을 얻었고, 2019년 4월 2일에 도메인에 관련된 정보(네임서버 등)가 바뀌었다고 나온다. 

만료일은 2019년 7월 12일 이다. 

미국에 있는 namecheap.com 이라는 곳을 통해서 도메인 사용 권한을 얻었다는 것을 알 수 있고, 이 namecheap 이라는 곳은 국가번호가 1번 인 것으로 보아 미국에 있는 회사이고, 등록자의 국적은 독일이라는 것을 알 수 있다. 

 

궁금해서 해당 도메인에 들어가보니 공사중 페이지만 떴고, 웹사이트를 구축해주는 툴을 사용했는지 VESTA 라는 곳으로 링크가 되어 있다. 

웹호스팅을 관리해 주는 툴 인것 같은데.. 

 

첨부파일은 깨졌는지 아니면 백신에서 막고 있어서 열리지 않는 것인지 압축이 풀리지 않았다. 

 

예전에는 VBS 파일을 첨부해서 악성코드를 다운받는 형식이거나, 사진으로 위장한 exe 파일 등이 첨부되기도 했다. 

 

 

이 스팸메일은 독일놈이 미국 사이트에서 도메인을 등록하여 네덜란드에서 보낸 것이다 라고 할 수 있다. 하지만 자신의 정확한 정보를 등록하지는 않았을 것이므로 범인을 추적하기는 쉽지 않을 것 같다. 193.0.178.49 의 IP 주소를 가진 사용자가 해킹 피해를 입어서 좀비 PC가 되어 해커에 의해 원격조종을 당하여 스팸메일을 발송했을 수도 있다. 아니면 193.0.178.49 아이피를 사용하는 공유기가 누구나 사용할 수 있도록 되어 있고(카페 등의 공공 Wifi인 경우) 이 Wifi 네트워크에 접속하여 스팸메일을 발송했을 수도 있다. 아니면 무료 VPN 서비스를 사용하고 있는 국내 사용자가 필자의 블로그를 해킹하기 위해서 보낸 메일일수도..

 

어쨌든.. 이것은 해킹을 목적으로 정부를 사칭하여 발송한 이메일이다. 

 

 

모르는 사람이 보낸 이메일을 클릭하게 되면 메일을 클릭하는 것만으로도 (이미지 링크를 이용한 수신확인 기능등을 통해)메일을 읽고 있는 사람의 IP 주소를 알 수 있게 된다. 회사에서 클릭했다면, 다니는 직장의 정보를 알 수도 있고 기타 라이브러리를 통해서 메일을 읽고 있는 사람이 위치해 있는 지역을 알 수도 있다. 

 

메일에 이미지가 링크된 경우, 이미지를 불러오면서 나의 IP 주소가 노출되게 되고, 해킹을 목적으로 메일을 보냈다면 내 공유기의 취약점을 통해 내부 네트워크로 침입할 수 있을 것이다. 그리고 공유폴더 등에 악성코드를 심어놓거나 공유파일을 탈취해 갈 수도 있다. (스팸메일의 이미지를 표시하지 않는 것은 스패머에게 사용자의 IP가 노출되지 않도록 하는 목적이 있다.)

 

NAS 등을 사용한다면, NAS 해킹 시도를 할 수도 있겠고, 중요한 파일등이 탈취되거나 손상될 수 있다. 랜섬웨어에 잘못 걸리면 손해가 막심하므로.. 미리 조심해야 할 필요성이 있다. 

 

정부에서 보낸 메일처럼 위장한 해킹 메일을 읽었으므로, 나의 공유기 또는 내가 사용하는 네트워크에 대한 해킹 시도가 있을 수 있어서, 메일은 삭제하고 공유기 설정으로 들어가서 DHCP 에서 새로운 IP 를 할당받고 끝내기로 했다. 

 

스팸메일은 읽기만 해도 여러 정보가 스패머나 해커에게 전송된다는 사실을 잊지 말아야겠다. 공유기의 암호도 주기적으로 바꿔서 해킹의 기착지가 되지 않도록 해야겠다.