최근 네이버와 다음카카오 등 메일 서비스 사칭한 공격 증가
피싱공격 늘면서 사람들 관심 옅어져... 실제로는 거대 공격의 한 흐름
네이버는 자사에서 메일 보낼 경우 N 로고로 표시
[보안뉴스 원병철 기자] 30일 북한관련 활동가를 노린 네이버 피싱 공격이 발견됐다. 이번 공격은 네이버 메일을 사칭한 피싱 공격으로 자세하게 비교하지 않으면 허점을 찾지 못할 정도로 정교하게 제작된 것이 특징이다. 특히, 네이버 계정정보만을 빼내기 때문에 피해자는 공격을 받아도 모르고 넘어가지만 공격자는 지속적으로 피해자는 물론 피해자와 관련된 사람들을 염탐하고 추가 범행을 저지를 수 있다.
▲네이버를 사칭한 피싱메일[자료=ESRC]
이스트시큐리티 시큐리티대응센터(ESRC, 센터장 문종현)가 발견한 이번 공격은 북한관련 활동가를 노린 네이버 피싱 공격이다. 국내 대표 포털사이트이자 메일서비스 업체인 네이버를 사칭한 피싱 메일은 전문가가 보기에도 매우 정교하게 네이버를 사칭한 모습이다. 다만 발신자 메일이 ‘@naver.com’이 아닌 ‘mail.com’이며, 메일 맨 하단에 ‘NAVER Corp.’가 아닌 ‘Kakao Corp.’로 적혀있는 것을 확인할 수 있다.
ESRC의 문종현 센터장은 이번 공격의 주체를 ‘특정 국가의 지원을 받는 공격그룹’으로 지목하면서 “이들은 네이버와 한메일 이용자들에게 거의 비슷한 피싱 디자인을 만들어 사용하는데, 이 때문에 간혹 이렇게 실수를 범한다”고 설명했다. “이 공격자는 hwp, doc 악성문서 파일도 같이 사용하는데 작년부터 최근까지 mireene.com 미리네 호스팅 서버를 거점으로 사용하고 있습니다.”
이번 피싱 메일을 받고 “누군가 내 비밀번호를 바꾸려 한다”는 생각에 급히 ‘비밀번호 복구 요청 취소하기’ 버튼을 누르면, 역시나 실제와 똑같은 비밀번호 변경창이 뜨는데, 피해자가 비밀번호를 수정하면 이전 비밀번호와 바꾼 비밀번호가 공격자에게 넘어간다.
더 무서운 것은 공격자들이 이 비밀번호 변경 페이지를 실제 네이버 서버와 연동시켜 피해자가 비밀번호를 변경할 경우 실제 네이버의 비밀번호도 변경된다는 사실이다. “이 때문에 피해자는 자신이 안전하게 비밀번호를 바꿨다고 생각할 뿐, 비밀번호를 탈취당했다는 생각을 못합니다. 공격자들은 이렇게 수집된 비밀번호를 바탕으로 추가 공격을 기획할 수 있습니다.”
우선 공격자들은 피해자가 입력한 ‘이전 비밀번호’를 다음이나 지메일 등 많이 사용하는 메일 서비스에 대입시켜 로그인을 시도한다. 많은 사용자들이 같은 아이디와 비밀번호를 여러 사이트에 그대로 사용한다는 사실을 공격자들도 알기 때문이다. 실제로 로그인에 성공하면 공격자들은 추가로 정보를 수집하게 되는 셈이다.
두 번째는 피해자와 메일을 주고받는 사용자를 확인하고 또 다른 공격을 준비한다. ‘피해자’를 ‘교두보’ 삼아 공격하면 또 다른 사용자는 쉽게 속을 수밖에 없다. “예를 들어, 이번 사칭 메일로 첫 번째 피해자 A의 네이버 계정을 탈취하면, 공격자는 피해자 A의 메일 활동을 몰래 들여다봅니다. 그러다 회사의 상급자나 공격자들이 필요로 하는 정보를 가진 B와의 연결고리를 확인하면 피해자 A 몰래 B에게 메일을 보내는 거죠. A의 메일 계정으로 정상적인 메일을 보내는 만큼 B가 공격을 당할 확률이 매우 높아집니다.”
문제는 최근 이렇게 네이버나 다음카카오 등 메일을 사칭한 피싱메일 공격이 계속 늘어나고 있으며, 점점 더 정교해진다는 사실이다. 게다가 이러한 피싱메일은 하루에도 몆차례씩 발생하기 때문에 피해자들도 무감각해지고 있고, 이는 보안전문가 역시 마찬가지다.
이와 관련해 문종현 센터장은 “피싱메일은 제로데이 등 강력한 공격에 비해 이제는 큰 관심을 받지 못하고 있다”면서, “이번 메일은 특정 공격그룹이 지속적으로 펼치고 있는 공격의 한 흐름으로 매우 중요하지만, 단순한 피싱 메일로 치부돼 소홀히 여겨질 수 있어 안타깝다”고 설명했다.
▲네이버 공식 메일에는 N 로고가 붙어 사칭메일을 구분할 수 있다[자료=ESRC]
한편, 네이버를 사칭한 피싱메일이 늘어나면서 네이버는 자사에서 발송한 메일에는 네이버 로고 ‘N’을 붙여 확인할 수 있도록 했다. 실제로 네이버가 보낸 메일과 네이버를 사칭한 피싱메일은 N 로고로 구분이 가능하다.
[원병철 기자(boanone@boannews.com)]
피싱공격 늘면서 사람들 관심 옅어져... 실제로는 거대 공격의 한 흐름
네이버는 자사에서 메일 보낼 경우 N 로고로 표시
[보안뉴스 원병철 기자] 30일 북한관련 활동가를 노린 네이버 피싱 공격이 발견됐다. 이번 공격은 네이버 메일을 사칭한 피싱 공격으로 자세하게 비교하지 않으면 허점을 찾지 못할 정도로 정교하게 제작된 것이 특징이다. 특히, 네이버 계정정보만을 빼내기 때문에 피해자는 공격을 받아도 모르고 넘어가지만 공격자는 지속적으로 피해자는 물론 피해자와 관련된 사람들을 염탐하고 추가 범행을 저지를 수 있다.
▲네이버를 사칭한 피싱메일[자료=ESRC]
이스트시큐리티 시큐리티대응센터(ESRC, 센터장 문종현)가 발견한 이번 공격은 북한관련 활동가를 노린 네이버 피싱 공격이다. 국내 대표 포털사이트이자 메일서비스 업체인 네이버를 사칭한 피싱 메일은 전문가가 보기에도 매우 정교하게 네이버를 사칭한 모습이다. 다만 발신자 메일이 ‘@naver.com’이 아닌 ‘mail.com’이며, 메일 맨 하단에 ‘NAVER Corp.’가 아닌 ‘Kakao Corp.’로 적혀있는 것을 확인할 수 있다.
ESRC의 문종현 센터장은 이번 공격의 주체를 ‘특정 국가의 지원을 받는 공격그룹’으로 지목하면서 “이들은 네이버와 한메일 이용자들에게 거의 비슷한 피싱 디자인을 만들어 사용하는데, 이 때문에 간혹 이렇게 실수를 범한다”고 설명했다. “이 공격자는 hwp, doc 악성문서 파일도 같이 사용하는데 작년부터 최근까지 mireene.com 미리네 호스팅 서버를 거점으로 사용하고 있습니다.”
이번 피싱 메일을 받고 “누군가 내 비밀번호를 바꾸려 한다”는 생각에 급히 ‘비밀번호 복구 요청 취소하기’ 버튼을 누르면, 역시나 실제와 똑같은 비밀번호 변경창이 뜨는데, 피해자가 비밀번호를 수정하면 이전 비밀번호와 바꾼 비밀번호가 공격자에게 넘어간다.
더 무서운 것은 공격자들이 이 비밀번호 변경 페이지를 실제 네이버 서버와 연동시켜 피해자가 비밀번호를 변경할 경우 실제 네이버의 비밀번호도 변경된다는 사실이다. “이 때문에 피해자는 자신이 안전하게 비밀번호를 바꿨다고 생각할 뿐, 비밀번호를 탈취당했다는 생각을 못합니다. 공격자들은 이렇게 수집된 비밀번호를 바탕으로 추가 공격을 기획할 수 있습니다.”
우선 공격자들은 피해자가 입력한 ‘이전 비밀번호’를 다음이나 지메일 등 많이 사용하는 메일 서비스에 대입시켜 로그인을 시도한다. 많은 사용자들이 같은 아이디와 비밀번호를 여러 사이트에 그대로 사용한다는 사실을 공격자들도 알기 때문이다. 실제로 로그인에 성공하면 공격자들은 추가로 정보를 수집하게 되는 셈이다.
두 번째는 피해자와 메일을 주고받는 사용자를 확인하고 또 다른 공격을 준비한다. ‘피해자’를 ‘교두보’ 삼아 공격하면 또 다른 사용자는 쉽게 속을 수밖에 없다. “예를 들어, 이번 사칭 메일로 첫 번째 피해자 A의 네이버 계정을 탈취하면, 공격자는 피해자 A의 메일 활동을 몰래 들여다봅니다. 그러다 회사의 상급자나 공격자들이 필요로 하는 정보를 가진 B와의 연결고리를 확인하면 피해자 A 몰래 B에게 메일을 보내는 거죠. A의 메일 계정으로 정상적인 메일을 보내는 만큼 B가 공격을 당할 확률이 매우 높아집니다.”
문제는 최근 이렇게 네이버나 다음카카오 등 메일을 사칭한 피싱메일 공격이 계속 늘어나고 있으며, 점점 더 정교해진다는 사실이다. 게다가 이러한 피싱메일은 하루에도 몆차례씩 발생하기 때문에 피해자들도 무감각해지고 있고, 이는 보안전문가 역시 마찬가지다.
이와 관련해 문종현 센터장은 “피싱메일은 제로데이 등 강력한 공격에 비해 이제는 큰 관심을 받지 못하고 있다”면서, “이번 메일은 특정 공격그룹이 지속적으로 펼치고 있는 공격의 한 흐름으로 매우 중요하지만, 단순한 피싱 메일로 치부돼 소홀히 여겨질 수 있어 안타깝다”고 설명했다.
▲네이버 공식 메일에는 N 로고가 붙어 사칭메일을 구분할 수 있다[자료=ESRC]
한편, 네이버를 사칭한 피싱메일이 늘어나면서 네이버는 자사에서 발송한 메일에는 네이버 로고 ‘N’을 붙여 확인할 수 있도록 했다. 실제로 네이버가 보낸 메일과 네이버를 사칭한 피싱메일은 N 로고로 구분이 가능하다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
