"강연료 100만원" 정교해지는 피싱메일 공격에…보안업계 대응 나서

[이데일리 최연두 기자] 더 정교하게 유포되는 피싱메일 공격을 예방하기 위해 보안 업계가 발 빠르게 대응에 나섰다. 자체 온라인 블로그에 관련 사항을 공지하고 개인용 컴퓨터(PC) 백신에서 이를 즉각 차단하며 이용자 보호에 집중하고 있다.

피싱메일 관련 이미지(사진=픽사베이)

20일 안랩(053800)에 따르면 최근 특정 사용자를 대상으로 유포된 강연의뢰서 위장 악성 파일이 발견됐다.

해당 파일은 ‘강연의뢰서’ 제목의 악성 한글문서(.hwp)로, 공격자는 해당 파일을 피싱 메일 혹은 악성 인터넷 주소(URL)를 통해 유포한 것으로 추정된다. 이 파일에는 악성코드가 숨겨져 있어 이용자가 문서를 다운로드 하면 본인 PC에 악성코드가 자동으로 저장된다. 악성코드는 PC에서 비밀스럽게 작동하면서 개인정보 유출 등 악성 행위를 수행할 수 있다.

해당 한글문서는 마치 실제 강연 요청자가 작성한 것과 같은 구체적인 정보를 담고 있다. 공격자는 피해자가 해당 악성 한글파일을 실행할 경우 정상 미끼 문서(.docx)가 함께 실행되도록 해 사용자를 속였다. 정상(미끼)문서에는 마치 실제 강연 요청자가 작성한 것과 같은 구체적인 정보를 담고 있다.

공격자는 의뢰서 미끼 문서 내 표 상단에 “안녕하십니까. 바쁘신 와중에도 금번 강연을 수락해주셔서 감사드립니다. 다음과 같이 강연을 의뢰하오니 참고하시기 바랍니다”라고 쓴 뒤 강연 개요를 명시했다.

특히 공격자는 의뢰서 표에 △강연 주제 ‘국제정세와 안보’ △강연 일정 ‘2024년 9월19일(목)’ △강연 시간 ‘8~9시, 조찬식사 30분’ △강연료 100만원 등 내용을 넣어 메일을 받은 특정인이 더 쉽게 속아 넘어가도록 만들었다.

안랩이 탐지한 ‘강연의뢰서’ 위장 악성파일 사례에서 발견된 미끼 파일(사진=안랩)

안랩은 지난 19일 자체 블로그에 공개한 악성 파일 분석 결과, 이번 악성코드는 외부에서 추가적으로 악성 명령을 받아오는 과정에서 구글 드라이브를 사용한다. 또 업로드 된 파일의 제목에 인코딩 된 악성 명령어를 삽입해 악성 행위를 수행하는 것으로 나타났다.

다만, 안랩 측에 따르면 이번 피싱메일 공격으로 실제 피해가 발생한 것은 없다. 안랩 백신(V3)은 현재 이 악성 파일을 탐지, 차단하고 있다.

보안 업체 카스퍼스키는 전날 유수 마케팅 업체를 사칭한 악성 메일이 발견됐다며 이용자 주의를 요구했다. 바뀐 기업 가이드라인을 PDF 첨부파일 형식으로 전달한다는 내용의 이 메일은 이메일 서비스의 보안 필터도 통과했다고 설명했다. 이용자가 해당 PDF 파일을 열면 휴대폰으로 QR코드를 스캔해 가이드라인 내용을 확인하도록 유도하고 악의적인 웹페이지로 자동 연결된다.

로만 데녹 카스퍼스키 연구원은 기업들이 피싱 방지를 위해 “모바일 기기를 포함한 모든 업무 기기에 안티피싱 기술이 적용된 보안 솔루션을 사용하고 임직원을 대상으로 정기적인 사이버 보안 교육을 실시해야 한다”고 말했다.