악성 이메일은 고객센터, 지인, 사회이슈 등 사칭해 사용자 속이고 악성 행위 시도
2단계 인증 로그인, 보안 소프트웨어 사용 및 주기적인 업데이트 등 기본 보안수칙 준수 필요

[보안뉴스 이상우 기자] 사이버 공격자는 개인의 PC나 기업 시스템에 침투하기 위해 다양한 방법을 시도한다. 특히, 이메일을 이용한 방식은 사이버 공격자가 특별한 경로를 거치지 않고도 사용자에게 접근할 수 있는 수단이다. 악성 이메일을 이용한 사이버공격은 목적과 형태 역시 다양하다. 단순히 첨부 파일이나 링크를 통해 악성코드를 유포하는 것부터 시작해 특정 서비스를 사칭해 사용자의 ID/PW를 탈취하기도 한다. 특히 사회적 이슈를 이용해 악성 이메일을 수신한 사용자가 의심 없이 이를 열어보도록 하는 방식도 많이 쓰이고 있어 주의가 필요하다.


[이미지=utoimage]

한국인터넷진흥원(이하 KISA)이 2020년 4분기 사이버 위협 동향 보고서를 통해 ‘해킹 메일’ 유형과 대응법을 소개했다. KISA에 따르면 해킹 사고 대부분은 직장 동료, 정부 조직 등을 사칭해 악성코드를 숨긴 첨부파일이나 가짜 웹 사이트 링크 등을 포함한 이메일 공격으로 감행되고 있다. 이렇게 공격당한 시스템에서는 개인정보 및 자료유출, 금전적 피해 등을 일으킬 수 있는 만큼, 보안인식 제고를 통해 악성 메일을 판별하고 이로 인한 피해를 줄일 수 있어야 한다.

KISA가 소개한 대표적인 해킹 메일 유형은 잘 알려진 포털 사이트 고객 센터를 사칭해 비인가 로그인 이력, 비밀번호 유출 등으로 속여 로그인을 유도하는 방식이다. 여기에 실제 자신의 계정 정보를 입력할 경우 해당 정보가 고스란히 사이버 공격자에게 전달된다. 실제로 북한으로 추정되는 사이버 공격 조직은 국내 언론사 기자를 대상으로 이러한 공격을 펼치기도 했다.

나아가 그룹웨어 서비스를 사칭해 이메일 용량이 초과됐다고 속여 업무용 계정 정보를 탈취하려는 형태도 있다. 최근에는 애플 고객센터를 사칭하고, 피싱 페이지를 제작해 상대적으로 정보 탈취가 어려운 애플 기기 사용자를 노리는 사이버 공격도 발생한 바 있다. 해당 사이트는 결제와 관련한 내용으로 속여, 사용자가 결제 취소를 위해 이름, 생년월일, 개인정보, 신용카드 번호 및 유효기한 등의 정보를 입력하도록 유도했다.


▲애플 고객센터 사칭 피싱 페이지로, 이메일을 통해 이를 유포했다[자료=안랩]

시의적절한 이슈를 악용하거나 공공기관을 사칭하는 형태도 있다. 가령, 연말·연초가 이러한 경우에 해당한다. 예를 들어, 연말에는 연하장으로 속인 악성 이메일을 발송할 수 있고, 연말 선물 택배 수령 등을 사칭한 악성 이메일을 보낼 수도 있다. 직장인이 연말정산을 진행하는 연초의 경우 연말정산 사칭이나 연봉계약서 사칭 등을 주로 악용하기도 한다. 뿐만 아니라 미국 대선 같은 정치적 이슈, 코로나19 백신 개발, 재난 지원금 등 사용자의 관심을 끌 만한 소재를 채택해 이메일을 열어보도록 하는 경우도 많다.

메일 형태 역시 다양하다. 대표적인 것이 첨부파일을 이용한 공격이다. 첨부파일 형태는 HWP, DOC, ZIP 등 가능한 모든 파일을 사용한다. HWP의 경우 ‘개체연결삽입’ 기능을 통해 공격자가 숨겨놓은 악성코드를 실행하는가 하면, DOC, PPT, XLS 등의 문서 파일은 매크로 기능을 통해 코드를 실행한다. 압축파일(ZIP)에는 실행파일(EXE)이나 CD 이미지 파일 등을 숨겨놓고, 사용자가 이를 실행할 경우 트로이목마 혹은 랜섬웨어 등이 설치되도록 한다. 실제로 <보안뉴스>가 최근 받은 저작권 침해 관련 사칭 이메일은 ‘침해 내용’이라는 이름으로 실행파일 몇 개를 압축해 전송했으며, 해당 실행파일은 마콥(Makop) 랜섬웨어인 것으로 드러났다.


▲저작권 침해라며 사용자를 속이는 피싱 메일[자료=보안뉴스]

첨부파일 대신, 첨부파일인 것처럼 위장한 이미지에 하이퍼링크를 삽입하는 방식도 있다. 사용자가 첨부파일 확인을 위해 이를 클릭할 경우 공격자가 만든 피싱 사이트로 연결되며, 해당 파일을 열어보기 위해서 로그인이 필요하다는 식으로 속여 계정 정보를 탈취할 수도 있다.

최근에는 사이버 공격 피해를 막기 위해 보안메일을 사용하는 경우도 많은 점을 역이용해 오히려 보안메일로 위장하고, 메일을 확인하면 바로 악성 페이지로 연결해 개인정보 유출을 시도하기도 한다.

KISA는 이러한 공격에 대응하기 위해서 우선 수신한 메일이 정상적인 주소에서 발송됐는지 확인해야 한다고 설명했다. 가령, 고객센터에서 메일을 받은 경우 네이버, 애플, 구글, 카카오 등 도메인이 정확한지 확인해야 한다. 실제로 마이크로소프트를 rnicrosoft 같은 식으로 속이거나 구글을 goog1e로 속이는 사례도 존재한다.

또한, 첨부파일이 있거나 외부 링크가 걸려 있는 경우 발신자에게 유선 및 문자 등으로 먼저 확인하고, 개인정보나 계정인증관련 메일이 수신됐을 경우 메일에 포함된 링크를 클릭하는 대신 직접 해당 사이트에 방문해서 확인하는 습관을 들여야 한다고 덧붙였다. 이 밖에도 첨부파일 클릭 시 파일이 다운로드 되지 않고 계정정보 입력을 요구하는 경우 주의해야 한다.

기본적인 보안 수칙을 준수하는 것 역시 중요하다. 이메일 계정 비밀번호를 수시로 변경하고, 문자 메시지, 모바일 OTP 등을 통한 2단계 인증 로그인을 설정하는 것이 좋다. 2단계 인증을 사용할 경우 계정 정보가 탈취되더라도 2차 인증 수단 없이는 공격자가 해당 계정을 사용할 수 없기 때문이다. 이와 함께 안티 바이러스 등 보안 소프트웨어를 설치하고, 실시간 감시와 자동 업데이트 기능을 켜두는 것이 좋다. 마찬가지로 운영체제, 소프트웨어 업데이트 역시 항상 최신 버전으로 유지해야 한다. 최신 업데이트에는 새롭게 발견된 보안 취약점을 제거하는 내용이 포함돼 있기 때문이다.

기업의 경우 KISA가 매년 실시하는 ‘민간분야 사이버 위기대응 모의훈련’을 이용할 수도 있다. 이를 통해 기업 보안 수준 향상 및 임직원 보안인식 제고가 가능하다. 실제로 KISA는 반복적으로 훈련한 기업의 경우 악성코드 감염률이 상대적으로 낮았다고 밝혔다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>