"학생, 글 내려" 연예기획사 사칭 피싱메일 기승

이미지 무단사용 경고문으로 위장
PDF처럼 꾸민 EXE 다운로드 유도

대형 연예기획사를 사칭한 피싱메일 예시./사진제공=안랩

국내 대형 연예기획사의 저작권 침해 경고문을 사칭해 악성코드 감염을 유도하는 피싱메일이 유포 중인 것으로 나타났다.

16일 정보보호업계에 따르면 안랩 시큐리티인텔리전스센터(ASEC)는 전날 이 같은 피싱메일 발송사례를 공개했다. 제목에 '저작권 침해 신고' 등을 명시한 피싱메일은 본문에 '페이스북·인스타그램 등 SNS(사회관계망서비스) 광고에 이미지를 무단으로 사용했으니 조치하라'는 내용을 삽입해 수신자의 혼동을 유발한다.

ASEC가 수집한 피싱메일에는 "나는 한국의 엔터테인먼트 회사 OOO 매니저다", "저작권 위반이 의심되는 부분을 검토하고 제거해달라", "우리는 저작권법을 준수하고 귀하와의 파트너십을 유지하기 위해 문제를 신속히 해결하길 원한다"는 문구가 담겼다.

피싱메일에 삽입된 링크를 클릭하면 PDF(.pdf) 파일로 위장한 EXE(.exe) 실행파일을 내려받게 된다. 이를 실행할 경우 사용자에게 저작권 침해와 무관한 문서내용을 보여주는 한편 시스템·웹브라우저·메신저·스팀(게임플랫폼)·화면캡처 정보 등을 무단 수집한 뒤 해커의 텔레그램 계정으로 발송하는 악성 프로그램이 작동한다.

해커는 EXE 파일의 아이콘을 PDF 파일처럼 꾸미고, 파일이름에 '.pdf'와 공백 여러개를 추가해 피해자가 실제 파일 확장자(.exe)를 쉽게 알아챌 수 없게 한 것으로 드러났다. 전체 파일명을 '저작권 침해.pdf .exe'로 설정하는 식이다. 특히 사용자의 창 크기가 작을 경우, 이 같은 파일명은 '…'으로 축약돼 알아보기 어려워진다.

ASEC는 "출처가 불분명한 메일을 열람하거나 첨부파일을 취급할 때는 각별한 주의가 필요하고, 만약 첨부파일을 내려받았을 경우 알 수 없는 파일에 대한 실행을 지양해야 한다"고 밝혔다. 또 "파일 탐색기에서 파일 확장자를 항상 표시하도록 설정해두고 첨부된 파일이 EXE일 경우 의심해봐야 한다"고 조언했다.

윈도우 10·11의 파일 탐색기는 설정 기본값으로 파일 확장자를 표시하지 않는다. 확장자를 항상 표시하려면 사용자가 설정 메뉴로 진입해 '파일 확장명'을 활성화하면 된다.

피싱메일은 피해자를 속이기 위해 갈수록 지능화하는 추세다. 올 2분기 피싱메일과 첨부파일을 유형별로 분석한 ASEC '2024년 2분기 피싱 이메일 통계 보고서'에 따르면 전체 피싱메일 공격 키워드 유형 중 '결제·구매'는 27.7%, '배송·물류'는 20.6%를 차지했다.


표현도 정교해졌다. 해커들은 결제(Payment)·주문(Order)·청구서(Invoice)·운송(Shipment)·세관(Customs) 등 용어를 사용하거나 실제 물류업체를 사칭했다. 한편 '공지·알림'이 8.7%를 차지했고, 이 유형은 안내(Notice)·긴급(Urgent) 등 키워드를 악용한 것으로 집계됐다.