다크웹 통해 거래된 이메일 계정으로 타인 사칭해 정교한 공격 가능
한국어로 본문 작성한 피싱 메일 늘어나...번역기 성능 향상되면 구분 어려워질 수도
의심스러운 URL 및 파일 피하고, 신뢰 못할 웹사이트에 ID/비밀번호 입력하지 말아야
[보안뉴스 이상우 기자] 최근 다크웹 해킹 커뮤니티를 통해 국내 주요 기관·기업의 이메일 ID와 비밀번호가 대량으로 공개돼 큰 파장을 낳았다. 특히, 여기에는 개인 이메일이나 민간기업 이메일뿐만 아니라 기간산업을 담당하는 공기업 계정까지 포함돼 있다. 이 정보만 있으면 해커가 각 메일 시스템에 접속해 공유 문서를 열어보는 것은 물론, 해당 기업을 사칭한 이메일로 모기업이나 상급기관을 노리는 ‘스피어피싱’까지 가능하다.
▲다크웹 텔레그램에 유출된 국내 이메일 계정 정보[자료=NSHC]
이메일을 기반으로 하는 피싱은 오래 전부터 이어져 왔으며, 공격수법은 해를 거듭할수록 점점 더 지능화돼 사용자를 위협하고 있다. 과거에는 이러한 피싱 공격이 영어처럼 전 세계적으로 널리 쓰이는 언어를 통해 감행됐다. 해외 기업이나 기관 혹은 특정 인물을 사칭하며 사기성 이메일을 보내고, 여기에 속아 답장을 보낸 사람에게 본격적으로 사기를 친다. 내용은 대부분 “세관에 묶여있는 금괴를 되찾기 위해 변호사 선임 비용이 필요하니 도움을 주면 사례하겠다”거나, “정부에서 압류하려는 재산을 해외로 반출하고 싶은데, 믿을만한 파트너가 필요하다”는 식이다. 오랜 기간 연인처럼 호감을 일으키고 금품을 요구하는 ‘로맨스 스캠’ 역시 이러한 피싱 사기 중 하나로, 최근에는 이메일 대신 SNS나 메신저를 사용하는 추세다.
이러한 피싱 메일이 이제는 인공지능 기반 자동번역 기술의 발전과 함께 한층 더 진화하고 있다. 이를 이용해 외국인 해커가 한국어로 된 피싱 메일을 작성해 발송하면, 단순히 영어로된 공격을 진행하는 것과 비교해 성공률을 높일 수 있다. 번역기를 통해 제작한 한국어 피싱 메일에 아직은 어색한 표현이 있지만, 신경 써서 읽지 않으면 이러한 부분을 놓칠 수 있다. 특히, 우리와 같은 언어를 사용하는 북한 해커나 한국계 외국인이 이러한 공격에 참여할 경우 더 정교한 공격도 가능하다. 실제로 북한 해킹조직인 김수키(Kimsuky)는 한국 기자를 사칭한 이메일로 국내외 대북관련 주요 단체를 공격하기도 했다.
피싱 메일의 목적과 유형은?
이러한 피싱 메일은 어떤 목적을 이루기 위해 유포될까? 가장 먼저 계정정보 유출이다. 앞서 언급한 것처럼 실제로 쓰이는 기업 업무용 계정 정보를 유출할 경우 회사 내부 시스템에 접속해 정보를 얻는 것은 물론, 담당자 사칭을 통한 스피어피싱 역시 가능하다. 정체를 알 수 없는 이메일 주소보다는 우리에게 잘 알려진 도메인으로 만든 이메일이 상대적으로 피해자에게 더 큰 신뢰를 줄 수 있기 때문이다. 특히, 평소 메일을 주고 받던 관계자라면 별다른 의심 없이 메일에 포함된 URL을 누르거나 첨부파일을 내려받아 실행할 가능성도 크다.
▲국제 택배 사칭 피싱(왼쪽)과 그룹웨어 서비스 사칭(오른쪽)[자료=보안뉴스]
해커는 사용자의 계정정보를 유출하기 위해 이메일에 포함된 가짜 사이트로의 접속을 유도하는 경우가 많다. 메일 내용 역시 다양하다. 가령 사용자의 이메일 계정에 해외 접속기록이 발생했고, 이를 확인하려면 로그인이 필요하다며 피싱 사이트에 ID와 비밀번호 입력을 유도한다. 스미싱에 주로 쓰이는 ‘택배 미수령’ 사칭도 있다. 국제택배 기업에서 보낸 이메일을 사칭해 피싱 사이트로 유도하고, 마치 기업용 메일 서비스 로그인 화면인 것처럼 꾸며 계정정보를 입력하게 만든다.
앞서 언급한 사기성 이메일 역시 유출한 개인정보를 통해 진화하고 있는 추세다. 과거에는 마구잡이로 생성한 이메일을 사용했다면, 이제는 해킹을 통해 유출한 개인정보를 이러한 피싱에 적극 활용하고 있다. 실존 인물의 이메일 계정을 사기에 이용하는 것은 물론, 해당 인물의 신분증까지 첨부해 피해자와 신뢰관계를 구축한다.
▲해킹으로 유출한 계정과 신분증 사본을 이용한 스캠 시도[자료=보안뉴스]
피싱 메일을 악성 소프트웨어 유포를 위한 수단으로 쓰는 경우도 많다. 이메일에 들어있는 첨부파일을 조심하라는 이유가 여기에 있다. 파일 형식은 정말 다양하다. 대놓고 실행 파일(*.exe)을 첨부하는 경우도 있고, 실제 파일 확장자를 숨기기 위해 *.pdf___________.exe처럼 2차 확장자를 쓰기도 한다. HTML 파일을 통해 해커가 유도한 악성 파일 유포사이트로 연결할 수도 있으며, 압축파일이나 CD이미지 형태로 첨부된 경우도 있다. DOC나 HWP 같은 정상적인 문서 확장자를 쓰지만 매크로나 객체 연결 삽입(OLE)을 통해 악성 코드를 실행하는 파일 역시 위험하다. 이러한 파일을 사용자 PC에 내려받아 실행할 경우 ‘트로이 목마’ 등의 악성코드를 통해 각종 정보가 유출되거나 랜섬웨어에 감염돼 모든 파일을 못 쓰게 될 수도 있다.
▲국내 대기업 자회사를 사칭해 견적서로 위장한 트로이 목마를 보냈다[자료=보안뉴스]
피싱 메일은 어떻게 구분할 수 있을까?
계정 유출을 위한 피싱 메일은 몇 가지 특징으로 구분할 수 있다. 우선 메일 본문에 이미지 파일을 첨부하고, 여기에 하이퍼링크를 삽입한다. 이를 통해 사용자가 이미지의 어떤 곳을 누르든 해커가 만든 피싱 사이트로 연결된다. 가령 메일 본문에 첨부파일인 것처럼 위장한 캡처 이미지를 넣고, 사용자가 파일을 내려받으려고 이를 클릭하면 피싱 사이트로 연결하는 방식이다.
▲PDF 파일과 엑셀 파일을 첨부한 것처럼 꾸몄지만, 실제로는 하이퍼링크가 삽입된 본문 이미지다[자료=보안뉴스]
피싱 사이트의 URL 역시 다르다. 이러한 공격에는 해커가 직접 등록한 도메인을 사용하는 경우도 있고, 실제 운영하는 사이트의 웹 서버를 해킹해 피싱 사이트를 제작·운영하는 경우도 있다. 전자의 경우 도메인 및 IP 차단으로 막을 수 있는 반면, 후자는 해당 서비스 담당자가 이를 알아채기 전까지는 계속 피싱에 악용될 가능성이 크다. 실제로 기자가 최근 받은 피싱 메일은 해외 전세 비행기 예약 사이트, 국내 방수천 제조기업 사이트 등을 이용해 피싱 사이트를 제작한 바 있다.
▲우리가 흔히 아는 그룹웨어 페이지로 위장했지만, URL이 전혀 다르다[자료=보안뉴스]
악성코드를 유포하는 피싱 메일은 우선 첨부파일 확장자로 가늠할 수 있다. 실행파일(*.exe)은 일반적으로 업무 시 메일로 주고받지 않기 때문에 무시하는 게 좋다. 간혹 다른 파일 아이콘과 확장자로 위장한 실행파일이 있을 수 있다. 이 경우 평소 폴더 옵션 ‘보기’ 항목에서 ‘파일 확장명 표시’를 켜두면 확장자를 속이는 공격을 피할 수 있으니 참고하자. 또한, 악성 실행파일이나 트로이 목마 등 널리 알려진 악성 코드는 최신 보안 소프트웨어에서 쉽게 탐지할 수 있으니 믿을 수 있는 보안기업의 제품을 사용하고, 주기적으로 바이러스 정의 DB 업그레이드를 진행하는 것이 좋다.
DOC나 HWP 등 일반 문서로 위장한 파일은 실행 시 경고 메시지를 잘 확인해야 한다. 매크로가 포함된 파일은 실행 기능이 기본 설정에서 차단돼 있기 때문에 사용자가 허용하지 않는 이상 자동으로 실행되지 않는다. OLE 객체 역시 스크립트를 실행하거나 외부 파일로 연결할 경우 경고 메시지로 알려준다. 파일을 열어봤을 때 나오는 경고 메시지가 무슨 말인지 이해하지 못했다면 ‘허용’이나 ‘동의’를 함부로 누르지 않는 습관을 들여야 한다.
▲매크로 기능을 통해 악성 코드가 실행되면, 서버에서 추가적인 악성 파일을 내려받을 수도 있다[자료=이스트소프트]
유출 계정 사용한 피싱 메일 늘어...기업 계정 보안 강화에 신경 써야
기자가 최근 한 달간 여러 형태의 피싱 메일을 체크하며 느낀 것은 실제 존재하는 국내 기업과 이메일을 악용해 이러한 공격을 시도하는 사례가 늘고 있다는 점이다. 최근 받은 이메일의 경우 국내 사단법인, 언더웨어 라이선싱 생산기업, 대기업 계열 해운회사, 대기업 계열 건설회사 등으로 다양하며, 네이버 등 개인용 메일까지 포함돼 있다. 특히, 단순히 이메일만 이용한 것이 아니라 메일 하단에 있는 서명까지 그대로 가져와 사용하고 있다.
이렇듯 유출된 이메일을 통해 피싱 공격이 감행될 경우 기업 이미지가 손상되는 것은 물론, 실제 피해도 연결될 가능성이 크다. 해당 기업과 평소 연락을 주고받던 기업이라면 피싱 사이트나 악성 파일을 의심 없이 열어볼 가능성이 높기 때문이다. 이러한 사고를 막기 위해서는 우선 기업용 이메일 ID와 비밀번호가 유출되지 않도록 보안을 강화해야 한다. 특히, 2단계 인증 기능을 적용해 계정 정보가 유출되더라도 해커가 외부에서 접근하지 못하도록 조치할 필요가 있다.
국내에서 주로 사용하는 가비아 하이웍스는 물론, 구글, 마이크로소프트, 네이버 등 주요 그룹웨어는 이러한 2단계 인증 기능을 제공하고 있으며, 이를 적용하면 ID와 비밀번호가 노출돼도 외부인이 접근하기 어렵다. 조직 구성원의 경우도 평소 사용하는 계정과 업무용 계정을 다르게 생성하는 등 기본적인 보안조치가 필요하다.
▲or.kr이나 co.kr 등 국내 이메일을 해킹해 피싱 공격을 시도하고 있다[자료=보안뉴스]
또한, 이메일을 받는 업무 담당자 역시 날이 갈수록 교묘해지는 피싱 메일에 속지 않도록 주의를 기울여야 한다. 알 수 없는 URL이나 파일을 실행하지 않는 것은 물론, 이메일을 보낸 상대방의 메일 주소나 연결된 사이트 도메인을 꼼꼼하게 확인해야 각종 피싱 사기 피해를 줄일 수 있다.
[이상우 기자(boan@boannews.com)]
한국어로 본문 작성한 피싱 메일 늘어나...번역기 성능 향상되면 구분 어려워질 수도
의심스러운 URL 및 파일 피하고, 신뢰 못할 웹사이트에 ID/비밀번호 입력하지 말아야
[보안뉴스 이상우 기자] 최근 다크웹 해킹 커뮤니티를 통해 국내 주요 기관·기업의 이메일 ID와 비밀번호가 대량으로 공개돼 큰 파장을 낳았다. 특히, 여기에는 개인 이메일이나 민간기업 이메일뿐만 아니라 기간산업을 담당하는 공기업 계정까지 포함돼 있다. 이 정보만 있으면 해커가 각 메일 시스템에 접속해 공유 문서를 열어보는 것은 물론, 해당 기업을 사칭한 이메일로 모기업이나 상급기관을 노리는 ‘스피어피싱’까지 가능하다.
▲다크웹 텔레그램에 유출된 국내 이메일 계정 정보[자료=NSHC]
이메일을 기반으로 하는 피싱은 오래 전부터 이어져 왔으며, 공격수법은 해를 거듭할수록 점점 더 지능화돼 사용자를 위협하고 있다. 과거에는 이러한 피싱 공격이 영어처럼 전 세계적으로 널리 쓰이는 언어를 통해 감행됐다. 해외 기업이나 기관 혹은 특정 인물을 사칭하며 사기성 이메일을 보내고, 여기에 속아 답장을 보낸 사람에게 본격적으로 사기를 친다. 내용은 대부분 “세관에 묶여있는 금괴를 되찾기 위해 변호사 선임 비용이 필요하니 도움을 주면 사례하겠다”거나, “정부에서 압류하려는 재산을 해외로 반출하고 싶은데, 믿을만한 파트너가 필요하다”는 식이다. 오랜 기간 연인처럼 호감을 일으키고 금품을 요구하는 ‘로맨스 스캠’ 역시 이러한 피싱 사기 중 하나로, 최근에는 이메일 대신 SNS나 메신저를 사용하는 추세다.
이러한 피싱 메일이 이제는 인공지능 기반 자동번역 기술의 발전과 함께 한층 더 진화하고 있다. 이를 이용해 외국인 해커가 한국어로 된 피싱 메일을 작성해 발송하면, 단순히 영어로된 공격을 진행하는 것과 비교해 성공률을 높일 수 있다. 번역기를 통해 제작한 한국어 피싱 메일에 아직은 어색한 표현이 있지만, 신경 써서 읽지 않으면 이러한 부분을 놓칠 수 있다. 특히, 우리와 같은 언어를 사용하는 북한 해커나 한국계 외국인이 이러한 공격에 참여할 경우 더 정교한 공격도 가능하다. 실제로 북한 해킹조직인 김수키(Kimsuky)는 한국 기자를 사칭한 이메일로 국내외 대북관련 주요 단체를 공격하기도 했다.
피싱 메일의 목적과 유형은?
이러한 피싱 메일은 어떤 목적을 이루기 위해 유포될까? 가장 먼저 계정정보 유출이다. 앞서 언급한 것처럼 실제로 쓰이는 기업 업무용 계정 정보를 유출할 경우 회사 내부 시스템에 접속해 정보를 얻는 것은 물론, 담당자 사칭을 통한 스피어피싱 역시 가능하다. 정체를 알 수 없는 이메일 주소보다는 우리에게 잘 알려진 도메인으로 만든 이메일이 상대적으로 피해자에게 더 큰 신뢰를 줄 수 있기 때문이다. 특히, 평소 메일을 주고 받던 관계자라면 별다른 의심 없이 메일에 포함된 URL을 누르거나 첨부파일을 내려받아 실행할 가능성도 크다.
▲국제 택배 사칭 피싱(왼쪽)과 그룹웨어 서비스 사칭(오른쪽)[자료=보안뉴스]
해커는 사용자의 계정정보를 유출하기 위해 이메일에 포함된 가짜 사이트로의 접속을 유도하는 경우가 많다. 메일 내용 역시 다양하다. 가령 사용자의 이메일 계정에 해외 접속기록이 발생했고, 이를 확인하려면 로그인이 필요하다며 피싱 사이트에 ID와 비밀번호 입력을 유도한다. 스미싱에 주로 쓰이는 ‘택배 미수령’ 사칭도 있다. 국제택배 기업에서 보낸 이메일을 사칭해 피싱 사이트로 유도하고, 마치 기업용 메일 서비스 로그인 화면인 것처럼 꾸며 계정정보를 입력하게 만든다.
앞서 언급한 사기성 이메일 역시 유출한 개인정보를 통해 진화하고 있는 추세다. 과거에는 마구잡이로 생성한 이메일을 사용했다면, 이제는 해킹을 통해 유출한 개인정보를 이러한 피싱에 적극 활용하고 있다. 실존 인물의 이메일 계정을 사기에 이용하는 것은 물론, 해당 인물의 신분증까지 첨부해 피해자와 신뢰관계를 구축한다.
▲해킹으로 유출한 계정과 신분증 사본을 이용한 스캠 시도[자료=보안뉴스]
피싱 메일을 악성 소프트웨어 유포를 위한 수단으로 쓰는 경우도 많다. 이메일에 들어있는 첨부파일을 조심하라는 이유가 여기에 있다. 파일 형식은 정말 다양하다. 대놓고 실행 파일(*.exe)을 첨부하는 경우도 있고, 실제 파일 확장자를 숨기기 위해 *.pdf___________.exe처럼 2차 확장자를 쓰기도 한다. HTML 파일을 통해 해커가 유도한 악성 파일 유포사이트로 연결할 수도 있으며, 압축파일이나 CD이미지 형태로 첨부된 경우도 있다. DOC나 HWP 같은 정상적인 문서 확장자를 쓰지만 매크로나 객체 연결 삽입(OLE)을 통해 악성 코드를 실행하는 파일 역시 위험하다. 이러한 파일을 사용자 PC에 내려받아 실행할 경우 ‘트로이 목마’ 등의 악성코드를 통해 각종 정보가 유출되거나 랜섬웨어에 감염돼 모든 파일을 못 쓰게 될 수도 있다.
▲국내 대기업 자회사를 사칭해 견적서로 위장한 트로이 목마를 보냈다[자료=보안뉴스]
피싱 메일은 어떻게 구분할 수 있을까?
계정 유출을 위한 피싱 메일은 몇 가지 특징으로 구분할 수 있다. 우선 메일 본문에 이미지 파일을 첨부하고, 여기에 하이퍼링크를 삽입한다. 이를 통해 사용자가 이미지의 어떤 곳을 누르든 해커가 만든 피싱 사이트로 연결된다. 가령 메일 본문에 첨부파일인 것처럼 위장한 캡처 이미지를 넣고, 사용자가 파일을 내려받으려고 이를 클릭하면 피싱 사이트로 연결하는 방식이다.
▲PDF 파일과 엑셀 파일을 첨부한 것처럼 꾸몄지만, 실제로는 하이퍼링크가 삽입된 본문 이미지다[자료=보안뉴스]
피싱 사이트의 URL 역시 다르다. 이러한 공격에는 해커가 직접 등록한 도메인을 사용하는 경우도 있고, 실제 운영하는 사이트의 웹 서버를 해킹해 피싱 사이트를 제작·운영하는 경우도 있다. 전자의 경우 도메인 및 IP 차단으로 막을 수 있는 반면, 후자는 해당 서비스 담당자가 이를 알아채기 전까지는 계속 피싱에 악용될 가능성이 크다. 실제로 기자가 최근 받은 피싱 메일은 해외 전세 비행기 예약 사이트, 국내 방수천 제조기업 사이트 등을 이용해 피싱 사이트를 제작한 바 있다.
▲우리가 흔히 아는 그룹웨어 페이지로 위장했지만, URL이 전혀 다르다[자료=보안뉴스]
악성코드를 유포하는 피싱 메일은 우선 첨부파일 확장자로 가늠할 수 있다. 실행파일(*.exe)은 일반적으로 업무 시 메일로 주고받지 않기 때문에 무시하는 게 좋다. 간혹 다른 파일 아이콘과 확장자로 위장한 실행파일이 있을 수 있다. 이 경우 평소 폴더 옵션 ‘보기’ 항목에서 ‘파일 확장명 표시’를 켜두면 확장자를 속이는 공격을 피할 수 있으니 참고하자. 또한, 악성 실행파일이나 트로이 목마 등 널리 알려진 악성 코드는 최신 보안 소프트웨어에서 쉽게 탐지할 수 있으니 믿을 수 있는 보안기업의 제품을 사용하고, 주기적으로 바이러스 정의 DB 업그레이드를 진행하는 것이 좋다.
DOC나 HWP 등 일반 문서로 위장한 파일은 실행 시 경고 메시지를 잘 확인해야 한다. 매크로가 포함된 파일은 실행 기능이 기본 설정에서 차단돼 있기 때문에 사용자가 허용하지 않는 이상 자동으로 실행되지 않는다. OLE 객체 역시 스크립트를 실행하거나 외부 파일로 연결할 경우 경고 메시지로 알려준다. 파일을 열어봤을 때 나오는 경고 메시지가 무슨 말인지 이해하지 못했다면 ‘허용’이나 ‘동의’를 함부로 누르지 않는 습관을 들여야 한다.
▲매크로 기능을 통해 악성 코드가 실행되면, 서버에서 추가적인 악성 파일을 내려받을 수도 있다[자료=이스트소프트]
유출 계정 사용한 피싱 메일 늘어...기업 계정 보안 강화에 신경 써야
기자가 최근 한 달간 여러 형태의 피싱 메일을 체크하며 느낀 것은 실제 존재하는 국내 기업과 이메일을 악용해 이러한 공격을 시도하는 사례가 늘고 있다는 점이다. 최근 받은 이메일의 경우 국내 사단법인, 언더웨어 라이선싱 생산기업, 대기업 계열 해운회사, 대기업 계열 건설회사 등으로 다양하며, 네이버 등 개인용 메일까지 포함돼 있다. 특히, 단순히 이메일만 이용한 것이 아니라 메일 하단에 있는 서명까지 그대로 가져와 사용하고 있다.
이렇듯 유출된 이메일을 통해 피싱 공격이 감행될 경우 기업 이미지가 손상되는 것은 물론, 실제 피해도 연결될 가능성이 크다. 해당 기업과 평소 연락을 주고받던 기업이라면 피싱 사이트나 악성 파일을 의심 없이 열어볼 가능성이 높기 때문이다. 이러한 사고를 막기 위해서는 우선 기업용 이메일 ID와 비밀번호가 유출되지 않도록 보안을 강화해야 한다. 특히, 2단계 인증 기능을 적용해 계정 정보가 유출되더라도 해커가 외부에서 접근하지 못하도록 조치할 필요가 있다.
국내에서 주로 사용하는 가비아 하이웍스는 물론, 구글, 마이크로소프트, 네이버 등 주요 그룹웨어는 이러한 2단계 인증 기능을 제공하고 있으며, 이를 적용하면 ID와 비밀번호가 노출돼도 외부인이 접근하기 어렵다. 조직 구성원의 경우도 평소 사용하는 계정과 업무용 계정을 다르게 생성하는 등 기본적인 보안조치가 필요하다.
▲or.kr이나 co.kr 등 국내 이메일을 해킹해 피싱 공격을 시도하고 있다[자료=보안뉴스]
또한, 이메일을 받는 업무 담당자 역시 날이 갈수록 교묘해지는 피싱 메일에 속지 않도록 주의를 기울여야 한다. 알 수 없는 URL이나 파일을 실행하지 않는 것은 물론, 이메일을 보낸 상대방의 메일 주소나 연결된 사이트 도메인을 꼼꼼하게 확인해야 각종 피싱 사기 피해를 줄일 수 있다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
