안랩, 단가 인상 공문 위장한 피싱 메일 주의 당부

안랩은 최근 전 세계 공급망 불안을 악용해 ‘단가 인상 공문’으로 위장한 피싱 메일을 발견하고 사용자 주의를 당부했다고 15일 밝혔다.

피싱은 정상 메일이나 웹사이트처럼 꾸며 계정 정보와 개인정보를 빼내는 공격 방식이다. 이번 사례에서 공격자는 협력업체가 보낸 업무 메일처럼 피싱 메일을 꾸몄다. 메일 제목은 ‘단가 인상 공문’이었다. 본문에는 “최근 원자재 가격 상승으로 인해 부득이하게 단가 인상을 시행한다”는 내용을 담았다. 이후 관련 공문을 확인하라며 첨부파일 클릭을 유도했다.

사용자가 첨부된 ‘단가 인상 공문’ PDF 파일을 실행하면 PDF 뷰어를 다운로드해야 한다는 화면이 나타난다. 화면의 ‘다운로드’ 버튼에는 외부 링크가 삽입돼 있다. 이를 누르면 로그인 페이지로 위장한 피싱 사이트로 연결된다.

공격자는 사용자가 PDF 뷰어 다운로드 절차로 착각하도록 유도했다. 사용자가 가짜 로그인 창에 이메일 계정과 비밀번호를 입력하면 해당 정보는 공격자 서버로 전송된다. 탈취된 계정 정보는 기업 내부 시스템 침투나 추가 피싱 공격에 악용될 수 있다.

안랩은 피해 예방을 위해 발신자 이메일 주소의 도메인 확인이 필요하다고 설명했다. 발신자가 불분명한 메일의 첨부파일이나 인터넷주소(URL)는 실행하지 않아야 한다. 개인용컴퓨터(PC), 운영체제(OS), 소프트웨어(SW), 인터넷 브라우저에는 최신 보안 패치를 적용해야 한다. 백신 실시간 감시 기능도 켜둬야 한다.

이익규 안랩 분석팀 매니저는 “최근 중동발 원자재 수급 불안, 메모리 가격 급등 등 관심이 높은 이슈를 악용해 정상 업무 메일로 오인하게 만드는 피싱 시도가 이어질 수 있다”며 “업무 관련 메일이라도 발신자 이메일 주소, 첨부파일, URL의 진위를 반드시 확인해야 한다”고 말했다. 이어 “의심스러운 웹사이트에는 개인 정보와 계정 정보를 절대 입력하지 않아야 한다”고 덧붙였다.

안랩 V3 제품군과 샌드박스 기반 지능형 위협 대응 솔루션 ‘안랩 MDS’는 이번 메일로 유포 중인 URL 탐지 기능을 지원한다. 샌드박스는 의심 파일이나 주소를 격리된 환경에서 실행해 악성 여부를 분석하는 기술이다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network