언어, 문법, 표현방식은 물론 이름이나 이메일 주소 등에 다양한 흔적 남기는 피싱 공격
이러한 흔적 잘 발견하면 대다수 피싱 공격 회피하거나 예방할 수 있어
[보안뉴스 이상우 기자] 이메일, 문자 메시지 등을 이용한 피싱은 대표적인 사이버 공격이다. 이메일은 사이버 공격자가 특별한 방해 없이 피해자와 직접 접촉하는 수단이기 때문에 이메일을 통해 악성 파일을 퍼뜨리거나 가짜 사이트에 접속하도록 유도하는 등의 공격을 펼친다.
[이미지=utoimage]
피싱 피해를 예방하기 위해서는 ‘의심스러운 상대방이 보낸 파일을 내려받거나 URL을 클릭하지 말 것’이라는 보안 수칙을 권고한다. 그렇다면 의심스러운 메일이나 문자 메시지는 어떤 것일까? 이러한 메시지에서 보이는 몇 가지 특징을 잘 파악한다면 어떤 것이 의심스러운지 파악하고 피해를 예방할 수 있다.
우선 언어다. 해외 기업과 직접적으로 커뮤니케이션을 하거나 국내 기업의 해외 지사가 아니라면 외국어로 된 이메일을 주고받을 가능성이 거의 없다. 특히, 일반인이라면 이처럼 외국어로 된 이메일은 완전히 무시하는 것이 좋다. 가령, 이메일을 통한 사기(스캠) 중에는 ‘많은 유산을 상속했지만, 법적인 문제 때문에 이를 해결하기 위해 변호사 선임 비용이 필요하다’는 방식이 많으며, 이러한 사기는 이메일뿐만 아니라 소셜 미디어를 통해 이뤄지기도 한다. 이 때문에 자신과 무관한 언어로 된 이메일을 무시하면 다양한 유형의 사기 및 사이버 공격을 피할 수 있다.
최근 인공지능 기반 자동번역의 성능이 향상되면서 사이버 공격자는 특정 국가를 향한 피싱 캠페인을 펼칠 때 해당 국가의 언어를 더 쉽게 사용할 수 있게 됐다. 하지만 한국어의 특성상 어색한 번역투는 여전히 남아 있다. 우선 다음 이미지를 보자. 이메일 서비스를 사칭해 계정에 문제가 생겼다며 피싱 사이트로 접속하도록 유도하고, 사용자의 ID와 비밀번호를 탈취하려는 전형적인 수법이다.
[자료=보안뉴스]
첫 문장의 경우 문장 순서가 어색하긴 하지만, 번역은 제대로 됐다. 하지만 바로 다음 문장에서는 존댓말과 반말이 섞여 있으며, 의지, 있다, 닫은 등 문맥에 맞지 않은 단어가 쓰였다. 이는 ‘will be closed’를 문맥에 맞지 않게 번역했기 때문인 것으로 보인다. 마지막 문단에서도 ‘어떻게 이제까지’는 ‘However(How ever)’을, ‘갖고 싶다 에 계속하다’는 ‘want to continue’를 잘못 번역한 것으로 보인다. 이러한 이메일 역시 회피하는 것이 좋다.
우리와 같은 언어를 사용하는 특정 국가에서도 피싱을 시도하는 사례가 잦다. 특히, 이들은 정부기관, 언론사, 통일 관련 민간단체 등을 노리는 정교한 스피어 피싱을 펼치는 만큼 주의가 필요하다. 하지만 이러한 이메일에서도 해당 지역의 방언으로 인한 어색함이 드러나는 경우가 있다. 가령, 피싱 메일에는 ‘인차 연락 드리겠습니다(빨리 연락 드리겠습니다)’ 같은 표현을 쓰기도 하고, 지령(커맨드), 봉사기(서버) 등 한글로 돼 있지만 우리와는 다른 정보통신 용어를 사용하기 때문이다.
본문, 이메일 제목, 보낸 사람의 이메일 주소 등을 확인하는 것도 좋은 방법이다. 특정 업체를 사칭해 견적서, 발주서, 송장 등의 파일을 보내는 것 역시 대표적인 피싱 유형 중 하나다. 하지만 이메일 주소와 제목, 본문 내용, 첨부파일 이름 등이 사칭한 업체와 일치하지 않는 경우도 많다. 다음 이미지를 보면 건축 및 인테리어 프로젝트 관리 기업에서 보낸 이메일처럼 제목과 본문을 꾸몄지만, 정작 상대방의 이메일 주소는 가발 제조기업의 도메인을 사용하고 있다. 이런 부분만 검토해도 많은 피싱 메일을 걸러낼 수 있다.
[자료=보안뉴스]
외부 링크로 유도하는 이메일 역시 주의해야 한다. 이러한 피싱은 결국 교묘한 가짜 사이트를 만들고, 사용자의 계정 및 비밀번호를 탈취하는 것이 목적이다. 실제로 지난해에는 특정 국가의 지원을 받는 것으로 알려진 해킹조직 탈륨이 네이버 고객센터로 위장한 가짜 사이트를 통해 국내 언론사 직원, 공무원, 대북단체 종사자 등의 계정을 탈취하려 했다.
이 때문에 이메일에 포함된 알 수 없는 링크는 클릭하지 않는 것이 가장 안전하지만, 혹시라도 클릭했을 경우 다음과 같은 사항을 잘 확인해야 한다. 우선 웹 브라우저 주소창에 나타나는 인터넷 주소다. 우리가 흔히 알고 있는 주소와 조금이라도 차이가 있다면 해당 웹 페이지에서 각종 개인정보를 입력해서는 안 된다. 또한, 웹 페이지에 있는 각종 기능이 올바르게 작동하는지 확인하는 것도 방법이다. 가령, 다음 이미지에서 ‘IP보안’ 기능이나 ‘아이디 등록 신청’ 등을 클릭해보면 작동하지 않는다. 단순히 사용자를 속이기 위해 제작한 가짜 웹 페이지인 만큼, 추가적인 기능을 공들여 제작할 필요가 없기 때문이다.
▲해당 기능을 클릭해도 아무런 반응이 없다[자료=보안뉴스]
피싱 메일을 통한 사이버 공격 중, 악성 첨부파일을 포함하는 사례는 가장 흔히 볼 수 있는 방식이다. 견적서, 인보이스, 이력서, 저작권 위반 정리자료 등 다양한 방식으로 사용자를 속여 파일을 내려받게 하고, 이를 실행토록 유도한다. 첨부파일 유형 역시 다양하다. EXE는 트로이 목마, 랜섬웨어 등 다양한 악성 프로그램을 설치하는 방식이기 때문에 가장 주의해야 할 첨부파일 유형이다. 일반적으로 EXE 파일을 이메일로 주고받는 경우는 거의 없기 때문에 첨부파일 중에 EXE로 된 파일이 존재한다면 피싱 메일로 의심해도 좋다.
사이버 공격자는 사용자가 EXE 파일을 실행하도록 만들기 위해 이중 확장자를 사용하고 아이콘을 바꾸는 방식을 사용하기도 한다. 가령, ‘malware.pdf_______.exe’ 같은 이름으로 파일명을 변경해 마치 PDF 파일인 것처럼 꾸민다. 이러한 공격에 피해를 입지 않으려면 파일 확장자명을 표시하도록 설정을 바꾸는 것이 좋다. 방법은 간단하다. 아무 폴더나 연 뒤 상단 탭에서 보기를 선택하고, 표시/숨기기 항목에 있는 ‘파일 확장자명’을 선택하기만 하면 된다.
▲파일 확장자 표시 방법[자료=보안뉴스]
이 밖에도 피싱 메일 첨부파일에서 주로 쓰이는 형태는 DOC, PPT, HWP 등의 문서 파일이다. 이들은 정상적인 파일을 이용해 악성 스크립트를 실행하고, 실제 악성 파일은 존재하지 않기 때문에 ‘파일리스 공격’이라고 불린다. MS 오피스의 매크로 기능을 통해 숨겨놓은 명령어를 실행하도록 하거나 HWP의 객체연결삽입 기능으로 외부 명령어를 가져와 작동하도록 하는 방식이다.
이러한 공격을 예방하기 위해 MS 오피스나 한컴 오피스 등은 해당 기능이 자동 실행되지 않도록 막고 있으며, 기능 실행 시 사용자에게 이를 허용할지 물어본다. 사용자가 무심코 ‘허용’이나 ‘실행’ 등의 버튼을 누를 경우 악성코드가 실행되는 셈이다. 이에 사용자는 눈앞에 보이는 경고창이 무슨 내용인지 정확하게 파악하기 어렵다면 ‘취소’나 ‘닫기’ 등의 버튼을 누르는 것이 바람직하다.
▲해당 경고창이 무슨 말인지 완벽하게 이해하지 못했다면 ‘취소’를 누르는 습관이 필요하다[자료=보안뉴스]
물론 아주 수준 높고 완벽한 피싱도 존재한다. 이들은 정교한 피싱을 위해 오랜 기간 기업의 조직 구성이나 협력업체 등을 파악하고, 협력사의 이메일 계정을 탈취해 마치 실제 인물인 것처럼 업무 내용으로 위장한 악성 파일을 발송한다. 하지만 이렇게 정교하게 위장한 메일이라도 다시 한 번 의심하고, 혹시나 피싱은 아닐까 생각하며 이메일을 보낸 당사자에게 직접 연락해보면 실제 피싱인지 여부를 알 수 있다. 이러한 ‘의심’이 피싱 공격을 피할 수 있는 가장 효과적인 방법이다.
[이상우 기자(boan@boannews.com)]
이러한 흔적 잘 발견하면 대다수 피싱 공격 회피하거나 예방할 수 있어
[보안뉴스 이상우 기자] 이메일, 문자 메시지 등을 이용한 피싱은 대표적인 사이버 공격이다. 이메일은 사이버 공격자가 특별한 방해 없이 피해자와 직접 접촉하는 수단이기 때문에 이메일을 통해 악성 파일을 퍼뜨리거나 가짜 사이트에 접속하도록 유도하는 등의 공격을 펼친다.
[이미지=utoimage]
피싱 피해를 예방하기 위해서는 ‘의심스러운 상대방이 보낸 파일을 내려받거나 URL을 클릭하지 말 것’이라는 보안 수칙을 권고한다. 그렇다면 의심스러운 메일이나 문자 메시지는 어떤 것일까? 이러한 메시지에서 보이는 몇 가지 특징을 잘 파악한다면 어떤 것이 의심스러운지 파악하고 피해를 예방할 수 있다.
우선 언어다. 해외 기업과 직접적으로 커뮤니케이션을 하거나 국내 기업의 해외 지사가 아니라면 외국어로 된 이메일을 주고받을 가능성이 거의 없다. 특히, 일반인이라면 이처럼 외국어로 된 이메일은 완전히 무시하는 것이 좋다. 가령, 이메일을 통한 사기(스캠) 중에는 ‘많은 유산을 상속했지만, 법적인 문제 때문에 이를 해결하기 위해 변호사 선임 비용이 필요하다’는 방식이 많으며, 이러한 사기는 이메일뿐만 아니라 소셜 미디어를 통해 이뤄지기도 한다. 이 때문에 자신과 무관한 언어로 된 이메일을 무시하면 다양한 유형의 사기 및 사이버 공격을 피할 수 있다.
최근 인공지능 기반 자동번역의 성능이 향상되면서 사이버 공격자는 특정 국가를 향한 피싱 캠페인을 펼칠 때 해당 국가의 언어를 더 쉽게 사용할 수 있게 됐다. 하지만 한국어의 특성상 어색한 번역투는 여전히 남아 있다. 우선 다음 이미지를 보자. 이메일 서비스를 사칭해 계정에 문제가 생겼다며 피싱 사이트로 접속하도록 유도하고, 사용자의 ID와 비밀번호를 탈취하려는 전형적인 수법이다.
[자료=보안뉴스]
첫 문장의 경우 문장 순서가 어색하긴 하지만, 번역은 제대로 됐다. 하지만 바로 다음 문장에서는 존댓말과 반말이 섞여 있으며, 의지, 있다, 닫은 등 문맥에 맞지 않은 단어가 쓰였다. 이는 ‘will be closed’를 문맥에 맞지 않게 번역했기 때문인 것으로 보인다. 마지막 문단에서도 ‘어떻게 이제까지’는 ‘However(How ever)’을, ‘갖고 싶다 에 계속하다’는 ‘want to continue’를 잘못 번역한 것으로 보인다. 이러한 이메일 역시 회피하는 것이 좋다.
우리와 같은 언어를 사용하는 특정 국가에서도 피싱을 시도하는 사례가 잦다. 특히, 이들은 정부기관, 언론사, 통일 관련 민간단체 등을 노리는 정교한 스피어 피싱을 펼치는 만큼 주의가 필요하다. 하지만 이러한 이메일에서도 해당 지역의 방언으로 인한 어색함이 드러나는 경우가 있다. 가령, 피싱 메일에는 ‘인차 연락 드리겠습니다(빨리 연락 드리겠습니다)’ 같은 표현을 쓰기도 하고, 지령(커맨드), 봉사기(서버) 등 한글로 돼 있지만 우리와는 다른 정보통신 용어를 사용하기 때문이다.
본문, 이메일 제목, 보낸 사람의 이메일 주소 등을 확인하는 것도 좋은 방법이다. 특정 업체를 사칭해 견적서, 발주서, 송장 등의 파일을 보내는 것 역시 대표적인 피싱 유형 중 하나다. 하지만 이메일 주소와 제목, 본문 내용, 첨부파일 이름 등이 사칭한 업체와 일치하지 않는 경우도 많다. 다음 이미지를 보면 건축 및 인테리어 프로젝트 관리 기업에서 보낸 이메일처럼 제목과 본문을 꾸몄지만, 정작 상대방의 이메일 주소는 가발 제조기업의 도메인을 사용하고 있다. 이런 부분만 검토해도 많은 피싱 메일을 걸러낼 수 있다.
[자료=보안뉴스]
외부 링크로 유도하는 이메일 역시 주의해야 한다. 이러한 피싱은 결국 교묘한 가짜 사이트를 만들고, 사용자의 계정 및 비밀번호를 탈취하는 것이 목적이다. 실제로 지난해에는 특정 국가의 지원을 받는 것으로 알려진 해킹조직 탈륨이 네이버 고객센터로 위장한 가짜 사이트를 통해 국내 언론사 직원, 공무원, 대북단체 종사자 등의 계정을 탈취하려 했다.
이 때문에 이메일에 포함된 알 수 없는 링크는 클릭하지 않는 것이 가장 안전하지만, 혹시라도 클릭했을 경우 다음과 같은 사항을 잘 확인해야 한다. 우선 웹 브라우저 주소창에 나타나는 인터넷 주소다. 우리가 흔히 알고 있는 주소와 조금이라도 차이가 있다면 해당 웹 페이지에서 각종 개인정보를 입력해서는 안 된다. 또한, 웹 페이지에 있는 각종 기능이 올바르게 작동하는지 확인하는 것도 방법이다. 가령, 다음 이미지에서 ‘IP보안’ 기능이나 ‘아이디 등록 신청’ 등을 클릭해보면 작동하지 않는다. 단순히 사용자를 속이기 위해 제작한 가짜 웹 페이지인 만큼, 추가적인 기능을 공들여 제작할 필요가 없기 때문이다.
▲해당 기능을 클릭해도 아무런 반응이 없다[자료=보안뉴스]
피싱 메일을 통한 사이버 공격 중, 악성 첨부파일을 포함하는 사례는 가장 흔히 볼 수 있는 방식이다. 견적서, 인보이스, 이력서, 저작권 위반 정리자료 등 다양한 방식으로 사용자를 속여 파일을 내려받게 하고, 이를 실행토록 유도한다. 첨부파일 유형 역시 다양하다. EXE는 트로이 목마, 랜섬웨어 등 다양한 악성 프로그램을 설치하는 방식이기 때문에 가장 주의해야 할 첨부파일 유형이다. 일반적으로 EXE 파일을 이메일로 주고받는 경우는 거의 없기 때문에 첨부파일 중에 EXE로 된 파일이 존재한다면 피싱 메일로 의심해도 좋다.
사이버 공격자는 사용자가 EXE 파일을 실행하도록 만들기 위해 이중 확장자를 사용하고 아이콘을 바꾸는 방식을 사용하기도 한다. 가령, ‘malware.pdf_______.exe’ 같은 이름으로 파일명을 변경해 마치 PDF 파일인 것처럼 꾸민다. 이러한 공격에 피해를 입지 않으려면 파일 확장자명을 표시하도록 설정을 바꾸는 것이 좋다. 방법은 간단하다. 아무 폴더나 연 뒤 상단 탭에서 보기를 선택하고, 표시/숨기기 항목에 있는 ‘파일 확장자명’을 선택하기만 하면 된다.
▲파일 확장자 표시 방법[자료=보안뉴스]
이 밖에도 피싱 메일 첨부파일에서 주로 쓰이는 형태는 DOC, PPT, HWP 등의 문서 파일이다. 이들은 정상적인 파일을 이용해 악성 스크립트를 실행하고, 실제 악성 파일은 존재하지 않기 때문에 ‘파일리스 공격’이라고 불린다. MS 오피스의 매크로 기능을 통해 숨겨놓은 명령어를 실행하도록 하거나 HWP의 객체연결삽입 기능으로 외부 명령어를 가져와 작동하도록 하는 방식이다.
이러한 공격을 예방하기 위해 MS 오피스나 한컴 오피스 등은 해당 기능이 자동 실행되지 않도록 막고 있으며, 기능 실행 시 사용자에게 이를 허용할지 물어본다. 사용자가 무심코 ‘허용’이나 ‘실행’ 등의 버튼을 누를 경우 악성코드가 실행되는 셈이다. 이에 사용자는 눈앞에 보이는 경고창이 무슨 내용인지 정확하게 파악하기 어렵다면 ‘취소’나 ‘닫기’ 등의 버튼을 누르는 것이 바람직하다.
▲해당 경고창이 무슨 말인지 완벽하게 이해하지 못했다면 ‘취소’를 누르는 습관이 필요하다[자료=보안뉴스]
물론 아주 수준 높고 완벽한 피싱도 존재한다. 이들은 정교한 피싱을 위해 오랜 기간 기업의 조직 구성이나 협력업체 등을 파악하고, 협력사의 이메일 계정을 탈취해 마치 실제 인물인 것처럼 업무 내용으로 위장한 악성 파일을 발송한다. 하지만 이렇게 정교하게 위장한 메일이라도 다시 한 번 의심하고, 혹시나 피싱은 아닐까 생각하며 이메일을 보낸 당사자에게 직접 연락해보면 실제 피싱인지 여부를 알 수 있다. 이러한 ‘의심’이 피싱 공격을 피할 수 있는 가장 효과적인 방법이다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
