본문 하단에 ‘확인하기’ 등 버튼에 연결된 악성 링크로 피싱 페이지 연결 주의
수상한 이메일 수신 시 무조건적인 첨부파일 열람 금지하는 습관 길러야

[보안뉴스 김영명 기자] 최근 국세청에서 발행하는 전자세금계산서를 위장해 유포되는 피싱 메일이 다수 발견돼 관련 담당자들의 주의가 필요하다. 해당 피싱 메일은 전자세금계산서를 위장하고 있으며, ‘한국정보인증’, ‘트러스빌’과 같이 실제 존재하는 기관명을 사용해 사용자의 신뢰를 얻고자 시도한다.


▲전자세금계산서를 위장한 피싱 메일[자료=이스트시큐리티 ESRC]

이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 피싱 메일들은 실제 전자세금계산서와 매우 유사하게 제작돼 있다. 또한, 전자세금계산서 본문 하단에 위치한 ‘보기’ 또는 ‘확인하기’와 같은 버튼에는 악성 링크가 포함돼 있어 무심코 클릭을 하게 되면 공격자가 사전에 설정해 놓은 피싱 페이지로 연결된다.


▲계정정보 탈취를 시도하는 피싱 페이지[자료=이스트시큐리티 ESRC]

접속한 피싱 페이지에서 계정정보 입력을 요구한다. 이 페이지에는 수신자 이메일의 도메인을 읽어와 해당 도메인과 매칭되는 브랜드 로고를 노출시키고, 실제 수신자가 속해 있는 조직을 대상으로 발행된 세금계산서처럼 보이도록 위장했다. 또한, 악성 링크와 동시에 악성 파일이 첨부된 피싱 메일도 발견됐다.

해당 피싱 메일의 첨부파일에는 pdf 파일을 위장한 실행파일(.exe)이 포함돼 있었다. 분석 결과, 해당 파일을 실행하면 최종적으로 다른 악성코드를 추가로 내려받는 다운로더인 GULoader가 실행되는 것으로 확인됐다.


▲피싱 메일 내 첨부돼 있는 악성 파일[자료=이스트시큐리티 ESRC]

이스트시큐리티 ESRC 관계자는 “사용자는 정상적인 전자세금계산서의 경우 계정정보 입력을 요구하는 경우는 없다는 점을 반드시 인지하고, 수상한 이메일을 수신했을 때는 첨부파일을 내려받거나 실행하는 것을 지양해야 한다”며 “해당 링크를 클릭하기 전 마우스 오버를 통해 걸려있는 링크 주소를 확인하는 습관을 기르는 것이 중요하다”고 말했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>