"내가 뭘 샀지?"…'구매 주문' 메일에 뜬 사이트 로그인했다가

안랩, 상호소통형·업무요청용 피싱메일 행태 주의 당부

/사진제공=안랩

정보보안에 대한 사용자들의 인식이 높아지는 것과 비례해 공격자들도 더욱 교묘해진 방법을 동원하고 있다. 먼저 자문요청을 한 후 이에 긍정적인 답변을 한 이에게 악성코드를 심은 파일을 내려받도록 유도하는 등 사용자들의 방어심리를 무력화하는 시도가 확인되고 있다.

안랩(Ahnlab)은 3일 상호소통형 피싱메일, 업무요청형 피싱메일 등 정교한 수법의 피싱메일로 악성코드 유포를 시도하는 사례들이 발견됐다며 사용자들의 주의를 당부했다.

이번에 발견된 사용자의 회신을 유도하는 '상호소통형 피싱메일'은 공격자가 특정기관을 사칭해 자문을 요청하는 것으로 위장한 메일을 보내는 것으로 시작됐다.

/사진제공=안랩

"전문가의 의견을 수렴해 보고서를 작성하고 있으니 꼭 회신해달라"는 공격자의 메시지에 사용자가 긍정적 답변을 보내면 '자문요청서.docx'라는 제목의 문서파일을 다운로드하는 URL을 내보내는 식이다.

사용자가 해당 파일을 내려받아 실행하면 문서 상단에 "'콘텐츠 사용' 버튼을 클릭하라"는 메시지가 뜬다. 이 버튼을 누르면 악성코드가 실행되는 것이다.

만약 사용자가 공격자의 최초 메일에 거절 의사를 밝히면 "번거롭게 해드려 죄송하다"는 내용의 메일을 보내는 식으로 공격을 종료했다.

업무요청형 피싱메일은 정교하게 제작된 피싱 페이지로 사용자를 유도해 계정정보를 노렸다. 공격자는 특정 제조사를 사칭한 메일을 보내고 본문에 제품 제작 관련 요청 내용과 함께 "첨부파일을 확인하라"는 문구로 첨부파일 실행을 유도했다.

사용자가 무심코 '구매주문.html'이라는 제목의 파일을 실행하면 실제 유명 포털사이트의 실제 로그인 페이지와 유사하게 제작된 가짜 사이트로 연결된다. 사용자가 자신의 계정 정보를 입력하고 로그인 버튼을 누르면 악성코드가 실행돼 공격자에게 즉시 사용자 정보가 전송된다. 공격자는 사용자의 계정정보로 메신저 피싱이나 스팸메일 발송 등 추가적 사이버 범죄를 저지를 수 있게 되는 것이다.

/사진제공=안랩

안랩은 "이외에도 특정 회사의 견적서를 사칭해 정보유출 악성코드를 유포하거나 저작원을 위반했다는 등 내용의 사칭 메일로 '록빗'(LockBit) 랜섬웨어 감염을 시도하는 등 최근 피싱메일을 이용한 공격이 지속되고 있다"고 밝혔다.

또 피싱 메일로 인한 피해를 예방하기 위해 △이메일 발신자 등 출처 확인 △의심스러운 메일 내 첨부파일 및 URL 실행 금지 △사이트 별로 다른 계정 사용 및 비밀번호 주기적 변경 △V3 등 백신 프로그램 최신버전 유지 및 피싱 사이트 차단 기능 활성화 △사용중인 프로그램(OS/인터넷 브라우저/오피스 SW 등)의 최신버전 유지 및 보안 패치 적용 등 기본 보안수칙을 준수해야 한다고 당부했다.

/사진제공=안랩

김건우 안랩 시큐리티대응센터(ASEC)장은 "메일을 활용한 악성코드 유포나 계정정보 탈취 시도는 오래전부터 꾸준히 등장하는 공격 수법으로 공격자가 애용하는 방식"이라며 "최근 그 수법이 더욱 고도화되고 있기 때문에 사용자는 출처가 불분명한 메일 속 URL과 첨부파일 실행은 최대한 자제해야 하는 등 보안수칙을 생활화해야 한다"고 강조했다.