올 2분기 해커들이 결제·구매, 배송·물류, 공지·알림 등 키워드를 기반으로 피싱(Phishing) 메일을 주로 발송했다는 분석 결과가 나왔다. 피싱메일이란 개인정보 탈취를 위해 이메일 등을 통해 이뤄지는 사이버 공격 유형을 일컫는다.
안랩은 올 2분기 동안 수집한 피싱 에미엘과 첨부파일을 유형별로 분석한 '2024년 2분기 피싱 이메일 통계 보고서'를 발표하며 14일 이같이 밝혔다.
'결제·구매'와 관련한 키워드로 이뤄진 피싱메일 공격은 전체의 27.7%를 차지했다. 공격자들은 결제(페이먼트), 주문(오더), 청구서(인보이스) 등 금전 거래와 관련한 키워드로 이용자들의 시선을 끌었다.
'배송·물류'와 관련한 키워드는 전체의 20.6%를 차지했다. 공격자들은 '배송(딜리버리)', '운송(쉽먼트)' '세관(커스텀즈)' 등 단어를 사용하거나 실제 유명 물류업체의 이름을 사칭했다. '공지·알림' 성격의 키워드는 8.7%를 차지했다. 이 유형은 '긴급(Urgent)' '안내(Notice)' 등 키워드로 이용자의 불안한 심리와 호기심을 악용한 것으로 보인다.
안랩은 "세 가지 키워드 모두 업무와 일생상활과 관련성이 높고 최근 중국 e커머스(전자상거래) 등을 통한 직구가 유행하는 만큼 사용자들의 각별한 주의가 필요하다"고 했다.
피싱메일에 첨부된 파일의 유형 중에서는 '가짜 페이지' 유형이 50%로 가장 많았다. HTML 등으로 제작된 가짜 페이지는 화면 구성, 로고, 폰트 등 정상 페이지의 다양한 요소를 모방했다. 여기에 이용자가 자신의 계정 정보를 입력하면 공격자의 서버로 전송된다.
감염PC에 추가 악성코드를 내려받도록 하는 다운로더 유형도 13%에 달했다. 정상적 프로그램을 가장해 실행시 악성코드도 함께 실행하도록 하는 트로이목마형도 10%에 달했다. 사용자 정보르 탈취하는 인포스틸러 유형도 5%를 차지했다.
시스템에 악성코드를 설치하기 위해 설계된 프로그램인 드로퍼(Dropper), 설치시 자동적으로 광고를 표시하는 애드웨어(Adware) 등도 전분기에는 확인되지 않았지만 올 2분기에는 눈에 띄었다. 공격자들은 목적을 달성하기 위해 다양한 유형의 악성코드를 활용하는 만큼 이용자들이 첨부파일 실행시 각별히 주의해야 한다는 지적이다.
피싱메일에 가장 맣이 활용된 첨부파일 확장자로는 '스크립트 파일'이 50%로 가장 많았다. 스크립트 파일은 가짜 페이지를 웹 브라우저에서 실행하기 위해 사용되는 것으로 '.html' '.shtml' '.htm' 등 확장자를 포함한다.
'.zip' '.rar' '.7z' 등 '압축파일' 형태의 확장자 유형의 공격도 29%로 나타났다. 공격자는 악성 실행파일을 숨기기 위해 압축파일 형식을 사용하는 것으로 추정됐다. 이외에도 '.doc' '.xls' '.pdf' 등 문서파일로 위장한 악성파일의 비중도 12%에 달했다.
양하영 안랩 시큐리티 인텔리전스 센터(ASEC) 실장은 "결제, 배송, 긴급 등 사용자의 관심을 끌 수 있는 키워드를 활용해 피싱 메일을 유포하는 공격은 지속적으로 발생하고 있다"며 "피싱 메일의 문구나 첨부파일 등도 점점 고도화하고 있어, 사용자들은 다양한 피싱 메일 유형을 숙지하고 기본적인 보안 수칙을 지켜야 한다"고 말했다.
<저작권자 © ‘돈이 보이는 리얼타임 뉴스’ 머니투데이. 무단전재 및 재배포, AI학습 이용 금지>