실제로 기자가 받은 한국인터넷진흥원의 모의훈련용 피싱메일.
업무 메일이 쏟아지는 오전, 메일 제목 하나가 눈에 들어왔다. 발신지는 한국인터넷진흥원(KISA). 취재하는 공공기관에서 보낸 메일이어서 열어보지 않을 수 없었다. 최근 웹메일 로그인 취약점을 노린 개인정보 유출사건이 발생하고 있다는 내용이었다.
기자의 계정에서 해킹 흔적이 발견됐으니 KISA가 제공하는 비정상적인 쿠키(인터넷 사용기록)를 삭제하라는 안내였다. KISA의 삭제기능을 이용할 수 있는 링크도 걸려 있었다. 궁금한 사항은 '[email protected]'로 연락해 달라고 했다. 'krcert.or.kr'은 KISA의 실제 홈페이지 주소이기도 하다.
그래픽: 김다나 디자인기자
눈여겨 보지 않는다면 무심결에 링크를 누르기 십상이다. 과기정통부와 KISA가 이 메일을 이용해 올해 상반기 230개사 임직원 9만8599명을 대상으로 진행했던 모의훈련에서도 해킹메일 평균 열람율은 25.8%로 나타났다. 링크를 누르거나 파일을 다운로드 받은 비율(감염율)도 7.6%였다. 훈련을 거듭할 수록 피싱메일 인지도는 높아졌다. 모의해킹 훈련에 처음 참여한 기업 관계자들 피싱메일 열람율과 감염율은 36.4%, 11.1%였던 반면, 두 번째 참여한 기업의 경우 29.6%, 6.9%로 크게 낮아졌다. 그만큼 평상시 훈련과 경계심을 갖는게 중요하다는 뜻이다.
진짜처럼 진화하는 피싱메일..."관련없는 내용이면 일단 의심해야"피싱메일은 랜섬웨어가 유포되는 주요 경로다. 무차별적으로 아무에게나 보낼 수 있다. 랜섬웨어처럼 피싱메일도 진화를 거듭하고 있다. 아예 없는 내용을 꾸며냈던 기존 피싱메일과 달리, 실제 기업들이 주고받은 업무 메일을 해킹을 통해 빼낸 뒤 이를 랜섬웨어 유포용 피싱메일에 활용한 사례까지 등장했다. 추진 중인 사업명까지 언급한 이메일이라 의심하기 쉽지 않다.
이 시각 인기 뉴스
글로벌 보안기업 인티저가 공개한 현대엔지니어링 사칭 피싱메일.
해당 메일 내 담당자 이름만 바꿨을 뿐 소속과 직책, 담당업무는 물론 심지어 휴대전화 번호도 진짜다. 현대엔지니어링 관계자는 "어떤 방식으로 메일을 탈취했는지는 모르겠지만, 이 메일을 기업과 개인을 가리지 않고 무차별적으로 뿌린 것 같다"며 "진위여부를 확인해달라며 연락해온 곳이 수십 곳인데 그 중엔 대학교수도 있었다"고 말했다.
전문가들은 피싱메일을 활용한 랜섬웨어 공격이 많은 만큼, 이메일에 담긴 링크나 첨부파일에 특히 주의할 것을 당부한다. 남연수 KISA 대응협력팀 팀장은 "자신의 업무와 무관하거나 사전공지가 없던 내용을 담은 메일은 일단 의심해봐야 한다"며 "링크 주소나 보낸 사람의 이메일 주소가 'dauum.net'이나 'qmail.com' 등 이상하지 않은지를 살펴야 하며, 첨부파일도 함부로 다운로드 받지 말 것을 권장한다"고 말했다.