3월 1~2일 사이 ‘하이웍스’ 등 기업 이메일 서비스 사칭 악성 메일 잇달아 유포
비밀번호 만료, 저장공간 부족, 메시지 보류 등의 이유로 악성 URL 접속 유도
기업 이메일 서비스 이용 기업 임직원들의 경우 계정정보 탈취 주의 필요

[보안뉴스 권 준 기자] 지난 2월말 구매계약서와 견적서 등을 요청하는 악성 메일이 연이어 유포된 데 이어 3월 들어서는 1일과 2일 사이에 걸쳐 ‘하이웍스(Hiworks)’ 등 기업용 이메일 서비스를 사칭한 악성 메일 3종이 잇달아 유포된 것으로 드러났다.


▲1일 하이웍스를 사칭해 비밀번호가 만료된다는 내용으로 유포된 악성 메일[사진=보안뉴스]

먼저, 3월 1일 오후 유포된 악성 메일 유형 첫 번째는 ‘oooooooo.com 공고’라는 제목으로 하이윅스(hiworks)를 사칭해 ‘비밀번호가 오늘 만료됩니다. Monday, March 1, 2021 현재 비밀번호를 사용할 수 있습니다.’라는 내용과 함께 ‘동일한 비밀번호 유지’라는 글자에 하이퍼링크를 걸어 접속을 유도하고 있다. 해당 링크에 접속하면 이메일 계정에 대한 암호 입력을 유도해 계정 탈취를 노린다.


▲2일 하이웍스를 사칭해 이메일의 저장 공간이 부족하다는 내용으로 유포된 악성 메일[사진=보안뉴스]

두 번째 악성 메일 유형은 2일 새벽에 유포됐는데, 보낸 사람이 IT 헬프 데스크, 메일 제목이 ‘작업 필요: 메시지 저장 공간 낮음’으로 기재돼 있다. 메일 본문에는 하이웍스 로고 아래 ‘이메일 의 저장 공간이 부족합니다. 즉, 예정된 이메일을 대부분받지 못하게됩니다. 무료로받은 편지함을 무제한으로 가져오고 아래 링크를 크릭하여 메일 수신을 계속하십시오.’라는 내용과 함께 ‘무제한 공간을 확보하기 위해 여기에 액세스하십시오’라는 글자에 하이퍼링크를 걸어 접속을 유도하고 있다. 해당 링크로 접속하면 수신인의 메일 주소를 기재한 후, 암호 입력을 요구하고 있다.


▲2일 보류 메시지 알림을 사칭해 유포된 악성 메일[사진=보안뉴스]

또한, 2일 오전 11시 경에는 ‘이메일 서비스 관리자’를 보낸 사람으로 ‘7개의 보류중인 이메일 메시지에 대한 이메일 서비스 알림’이라는 제목의 악성메일이 유포됐다. 메일에는 ‘안녕하세요 OOOOO 모든 이메일이 수신되지 않고 7개의 메시지가 보류 중입니다. 이 계정으로 메일을 계속 수신 할 의향이 있음’이라는 내용에 ‘[이메일 재확인][보류 메시지 검토]’라는 글자에 하이퍼링크를 걸어 접속을 유도하고 있으며, 접속할 경우 앞서 두 유형과 마찬가지로 암호 입력을 요구하면서 계정 탈취를 시도하고 있다.

3가지 유형 모두 본문 내용이 어색하고 맞춤법이 많이 틀려 자세히 읽어보면 악성 메일이라는 사실을 눈치챌 수 있지만, 급한 마음에 하이퍼링크를 접속하게 되면 계정을 탈취 당한 우려도 있어 각별한 주의가 필요하다.

‘하이웍스’ 등 기업용 이메일 서비스를 사칭해 비밀번호 만료, 저장공간 부족, 메시지 보류 등의 이유로 악성 URL 접속을 유도하는 악성 메일도 매우 흔한 유형 가운데 하나다. 만약 메일에 포함된 하이퍼링크를 클릭하면 계정정보 등 개인정보를 입력하도록 유도하는 피싱 사이트로 연결되며, 개인정보를 피싱 사이트에 입력할 경우 입력한 개인정보가 공격자들의 서버로 넘어가게 된다.

이와 관련 하이웍스 측은 하이웍스 사칭 악성 메일의 피해를 막기 위해 ‘4가지 확인사항’을 안내했다. 첫 번째는 보낸 사람 이메일 주소가 하이웍스 공식 도메인, 즉 ‘hiworks.com, hiworks.co.kr, gabia.com, gabia.net’으로 발송된 메일이어야 한다는 것. 두 번째는 이메일이 인증을 통과한 메일이어야 한다는 것. 이 경우 아웃룩과 같은 메일 클라이언트가 아닌 웹메일로만 확인이 가능하다.

세 번째 하이웍스가 발송하는 메일은 ‘첨부파일’을 포함하지 않기 때문에 첨부파일이 있을 경우 무조건 의심해야 하며, 네 번째 링크의 URL이 공식 도메인 ‘hiworks.com, gabia.com’이 아니면 피싱 사이트로 연결될 수 있다는 점이다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>