임종철 디자이너 /사진=임종철 디자이너
안랩 (53,700원 ▲600 +1.13%)은 올 2분기 동안 수집한 피싱 에미엘과 첨부파일을 유형별로 분석한 '2024년 2분기 피싱 이메일 통계 보고서'를 발표하며 14일 이같이 밝혔다.
'배송·물류'와 관련한 키워드는 전체의 20.6%를 차지했다. 공격자들은 '배송(딜리버리)', '운송(쉽먼트)' '세관(커스텀즈)' 등 단어를 사용하거나 실제 유명 물류업체의 이름을 사칭했다. '공지·알림' 성격의 키워드는 8.7%를 차지했다. 이 유형은 '긴급(Urgent)' '안내(Notice)' 등 키워드로 이용자의 불안한 심리와 호기심을 악용한 것으로 보인다.
피싱메일에 첨부된 파일의 유형 중에서는 '가짜 페이지' 유형이 50%로 가장 많았다. HTML 등으로 제작된 가짜 페이지는 화면 구성, 로고, 폰트 등 정상 페이지의 다양한 요소를 모방했다. 여기에 이용자가 자신의 계정 정보를 입력하면 공격자의 서버로 전송된다.
감염PC에 추가 악성코드를 내려받도록 하는 다운로더 유형도 13%에 달했다. 정상적 프로그램을 가장해 실행시 악성코드도 함께 실행하도록 하는 트로이목마형도 10%에 달했다. 사용자 정보르 탈취하는 인포스틸러 유형도 5%를 차지했다.
이 시각 인기 뉴스
시스템에 악성코드를 설치하기 위해 설계된 프로그램인 드로퍼(Dropper), 설치시 자동적으로 광고를 표시하는 애드웨어(Adware) 등도 전분기에는 확인되지 않았지만 올 2분기에는 눈에 띄었다. 공격자들은 목적을 달성하기 위해 다양한 유형의 악성코드를 활용하는 만큼 이용자들이 첨부파일 실행시 각별히 주의해야 한다는 지적이다.
피싱메일에 가장 맣이 활용된 첨부파일 확장자로는 '스크립트 파일'이 50%로 가장 많았다. 스크립트 파일은 가짜 페이지를 웹 브라우저에서 실행하기 위해 사용되는 것으로 '.html' '.shtml' '.htm' 등 확장자를 포함한다.
'.zip' '.rar' '.7z' 등 '압축파일' 형태의 확장자 유형의 공격도 29%로 나타났다. 공격자는 악성 실행파일을 숨기기 위해 압축파일 형식을 사용하는 것으로 추정됐다. 이외에도 '.doc' '.xls' '.pdf' 등 문서파일로 위장한 악성파일의 비중도 12%에 달했다.
양하영 안랩 시큐리티 인텔리전스 센터(ASEC) 실장은 "결제, 배송, 긴급 등 사용자의 관심을 끌 수 있는 키워드를 활용해 피싱 메일을 유포하는 공격은 지속적으로 발생하고 있다"며 "피싱 메일의 문구나 첨부파일 등도 점점 고도화하고 있어, 사용자들은 다양한 피싱 메일 유형을 숙지하고 기본적인 보안 수칙을 지켜야 한다"고 말했다.