"자문요청 수락하면 악성코드 유포"…더 정교해지는 피싱

[아이뉴스24 김혜경 기자] 수신자가 자문요청을 수락할 경우 악성코드 첨부 파일을 내려받도록 유도하는 등 최근 정교한 수법의 피싱 메일이 유포되고 있어 주의가 요구된다.

3일 안랩에 따르면 지난달 발견된 악성 메일에서 공격자는 특정 기관을 사칭해 자문요청으로 위장한 메일을 전송했다.

공격자는 '전문가 의견을 수렴해 보고서를 작성하고 있다. 일정상 불가하시더라도 꼭 회신해달라'며 사용자의 답변을 유도했고, 사용자 답변에 따라 다른 내용으로 회신 메일을 보냈다.

수신자가 자문요청에 긍정적인 답변을 보낼 경우 '자문요청서.docx'라는 제목의 악성 문서파일이 다운로드되는 URL을 회신했다. 수신자가 해당 파일을 내려받아 실행하면 문서 상단에 '콘텐츠 사용 버튼을 클릭하라'는 메시지가 뜬다. 해당 버튼을 누르면 악성코드가 실행되는 방식이다.

감염 후 해당 악성코드는 특정 URL에 접속을 시도한다. 수신자가 자문요청에 거절의사를 밝힐 경우 '번거롭게 해드려 죄송하다'는 내용의 메일을 보내고 공격을 종료한 것으로 나타났다.

사용자의 계정정보를 노린 피싱 메일도 발견됐다. 공격자는 특정 제조회사를 사칭한 메일을 발송한 후 제품 제작 관련 요청 내용과 '첨부파일을 확인하라'는 문구가 포함된 첨부파일 실행을 유도했다.

수신자가 '구매 주문.html'이라는 제목의 첨부파일을 실행하면 실제 포털 사이트의 로그인 페이지와 유사하게 제작된 가짜 사이트로 연결된다. 사용자가 자신의 계정정보를 입력하고 로그인 버튼을 누르면 악성코드가 실행돼 공격자에게 해당 정보가 전송된다. 공격자는 탈취한 계정정보로 메신저 피싱, 스팸메일 발송 등 추가적인 사이버범죄를 저지를 수 있게 된다.

이외에도 특정 회사의 견적서를 사칭해 정보유출 악성코드를 유포하거나 저작권을 위반했다는 등의 사칭 메일로 '록빗(LockBit)' 랜섬웨어 감염을 시도하는 공격도 포착되고 있다.

피싱 메일 피해를 예방하기 위해서는 ▲이메일 발신자 등 출처 확인 ▲의심스러운 메일 내 첨부파일 및 URL 실행 금지 ▲사이트별 다른 계정 사용‧비밀번호 주기적 변경 ▲V3 등 백신 프로그램 최신버전 유지‧피싱 사이트 차단 기능 활성화 ▲프로그램 최신버전 유지‧보안 패치 적용 등 기본 보안수칙을 준수해야 한다.

김건우 안랩 시큐리티대응센터(ASEC)장은 "메일을 활용한 악성코드 유포나 계정정보 탈취 시도는 오래전부터 꾸준히 등장하는 공격 수법으로 공격자가 애용하는 방식"이라며 "최근에는 수법이 더욱 고도화되고 있으므로 사용자는 출처가 불분명한 메일 속 URL과 첨부파일 실행은 최대한 자제해야 한다"고 말했다.