공직자통합메일 사칭한 피싱 메일 발견, 인증서 암호 입력 요구로 정보 탈취 시도
정부부처 공무원 노린 스피어피싱 공격, 단축 URL 클릭시 피싱 사이트로 연결
[보안뉴스 김경애 기자] 공직자통합메일을 사칭한 피싱 메일이 발견됐다. 이번에 발견된 피싱 메일은 문화체육관광부가 운영하는 공직자통합메일을 사칭하고 있어 관계부처 공무원 등 공직자를 타깃으로 한 스피어피싱 공격으로 보인다.
▲인증서 암호 탈취하는 공직자통합메일 사칭한 피싱화면[이미지=제로서트 제공]
위협정보대응 전문 서비스를 제공하는 제로써트(ZeroCERT)에 따르면 지난 10일 문화체육관광부 공직자통합메일 사칭 피싱 사이트가 확인됐다. 해당 피싱 공격은 정부부처 공무원들을 타깃으로 행정전자서명(GPKI) 교육기관전자서명(EPKI) 공직자통합메일을 사칭한 피싱 메일을 통해 진행된다며 공직자들의 각별한 주의를 당부했다.
이번에 발견된 피싱 메일에는 단축 URL(goo.gl)을 클릭하도록 유도하고 있으며, 단축 URL을 클릭할 경우 피싱 사이트로 넘어간다. 피싱 화면을 살펴보면 인증서를 4개 파일 모두 선택해야 한다며 요구하고, 인증서 암호도 함께 입력하도록 하고 있다.
이는 해커가 사전에 특정기관 담당자 이메일 주소를 파악해서 메일을 뿌리는 형태로 국내 상황을 잘 알고 있음을 짐작케 하는 대목이다. 특히, 특정 타깃을 노리고 공격하는 경우 기존 사례에서 유추해 볼 때 중국 해커와 북한 해커의 가능성을 배제할 수 없다는 게 보안전문가들의 공통된 의견이다.
이에 대해 제로써트 측은 “피싱 사이트에서 확인되는 것처럼 GPKI, EPKI 인증서는 행정전자서명을 기반으로 한 국가 공인인증서로 일반 사용자를 노린 공격이 아닌 특정 타깃을 노린 공격이며, 단축 URL(goo.gl)을 사용한 것은 메일 내 링크가 스팸으로 탐지되는 걸 회피하기 위한 목적으로 보인다”고 분석했다.
한 보안 전문가는 “피싱 링크가 메일의 본문에 있는 경우라면, 직접적으로 노린 피싱 공격으로 추정할 수 있지만, 피싱 페이지만 존재한다고 가정한다면, 네이버 피싱과 유사한 형태의 피싱 공격으로 볼 수 있다”며 “두 가지 사례 모두, 피싱 페이지로 공격이 진행되므로 피싱 페이지에 대한 빠른 탐지 및 대응이 여전히 필요한 상태”라고 우려했다.
▲지난 7월 27일 행정전자서명 인증관리센터에서 올린 피싱 메일 주의 공지사항 화면[이미지=홈페이지 캡쳐]
이와 관련해서는 지난 7월에도 공직자통합메일을 위장한 피싱 사이트가 발견된 바 있다. 당시 유포된 악성 메일에는 ‘지금 인증서 갱신하러 가기’를 본문에 넣어 공직자들을 현혹시켰으며, 바로가기를 클릭할 경우 피싱 경유지로 접속을 유도한 바 있다. 해당 피싱 메일에 대해 행정전자서명 인증관리센터에서는 지난 7월 27일 공지사항으로 주의를 당부했다.
따라서 공직자들은 이러한 피싱 메일에 인증서 정보가 탈취되지 않도록 출처를 알 수 없는 메일은 절대 수신하지 말아야 한다. 또한, 백신과 소프트웨어 등은 항상 최신 버전으로 업데이트를 유지해야 한다.
[김경애 기자(boan3@boannews.com)]
정부부처 공무원 노린 스피어피싱 공격, 단축 URL 클릭시 피싱 사이트로 연결
[보안뉴스 김경애 기자] 공직자통합메일을 사칭한 피싱 메일이 발견됐다. 이번에 발견된 피싱 메일은 문화체육관광부가 운영하는 공직자통합메일을 사칭하고 있어 관계부처 공무원 등 공직자를 타깃으로 한 스피어피싱 공격으로 보인다.
▲인증서 암호 탈취하는 공직자통합메일 사칭한 피싱화면[이미지=제로서트 제공]
위협정보대응 전문 서비스를 제공하는 제로써트(ZeroCERT)에 따르면 지난 10일 문화체육관광부 공직자통합메일 사칭 피싱 사이트가 확인됐다. 해당 피싱 공격은 정부부처 공무원들을 타깃으로 행정전자서명(GPKI) 교육기관전자서명(EPKI) 공직자통합메일을 사칭한 피싱 메일을 통해 진행된다며 공직자들의 각별한 주의를 당부했다.
이번에 발견된 피싱 메일에는 단축 URL(goo.gl)을 클릭하도록 유도하고 있으며, 단축 URL을 클릭할 경우 피싱 사이트로 넘어간다. 피싱 화면을 살펴보면 인증서를 4개 파일 모두 선택해야 한다며 요구하고, 인증서 암호도 함께 입력하도록 하고 있다.
이는 해커가 사전에 특정기관 담당자 이메일 주소를 파악해서 메일을 뿌리는 형태로 국내 상황을 잘 알고 있음을 짐작케 하는 대목이다. 특히, 특정 타깃을 노리고 공격하는 경우 기존 사례에서 유추해 볼 때 중국 해커와 북한 해커의 가능성을 배제할 수 없다는 게 보안전문가들의 공통된 의견이다.
이에 대해 제로써트 측은 “피싱 사이트에서 확인되는 것처럼 GPKI, EPKI 인증서는 행정전자서명을 기반으로 한 국가 공인인증서로 일반 사용자를 노린 공격이 아닌 특정 타깃을 노린 공격이며, 단축 URL(goo.gl)을 사용한 것은 메일 내 링크가 스팸으로 탐지되는 걸 회피하기 위한 목적으로 보인다”고 분석했다.
한 보안 전문가는 “피싱 링크가 메일의 본문에 있는 경우라면, 직접적으로 노린 피싱 공격으로 추정할 수 있지만, 피싱 페이지만 존재한다고 가정한다면, 네이버 피싱과 유사한 형태의 피싱 공격으로 볼 수 있다”며 “두 가지 사례 모두, 피싱 페이지로 공격이 진행되므로 피싱 페이지에 대한 빠른 탐지 및 대응이 여전히 필요한 상태”라고 우려했다.
▲지난 7월 27일 행정전자서명 인증관리센터에서 올린 피싱 메일 주의 공지사항 화면[이미지=홈페이지 캡쳐]
이와 관련해서는 지난 7월에도 공직자통합메일을 위장한 피싱 사이트가 발견된 바 있다. 당시 유포된 악성 메일에는 ‘지금 인증서 갱신하러 가기’를 본문에 넣어 공직자들을 현혹시켰으며, 바로가기를 클릭할 경우 피싱 경유지로 접속을 유도한 바 있다. 해당 피싱 메일에 대해 행정전자서명 인증관리센터에서는 지난 7월 27일 공지사항으로 주의를 당부했다.
따라서 공직자들은 이러한 피싱 메일에 인증서 정보가 탈취되지 않도록 출처를 알 수 없는 메일은 절대 수신하지 말아야 한다. 또한, 백신과 소프트웨어 등은 항상 최신 버전으로 업데이트를 유지해야 한다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
