[보안뉴스 이상우 기자] 해킹 사고 대부분은 피싱 메일을 통한 악성 첨부파일이나 가짜 웹 사이트로 연결되는 링크를 통해 발생한다. 공격자는 이러한 이메일을 통해 ID와 비밀번호 등의 계정 정보를 유출하는 것은 물론, 악성 코드를 실행해 개인정보나 기업의 정보자산 등을 유출해 금전적·정신적 피해를 야기할 수 있다.

앞서 ‘공과장’의 사례는 유명 포털 사이트 관리자를 사칭해 ‘비정상 로그인’ 관련 안내 메일을 보내고, 여기에 속은 사용자가 가짜 사이트에 자신의 계정정보를 입력하도록 유도하는 방식이다. 이렇게 입력한 정보는 공격자에게 실시간으로 전송되며, 공격자는 이를 통해 사용자의 업무 시스템에 로그인 하고, 주요 자료를 탈취한다. 나아가 유출 계정을 이용해 피해자를 사칭한 피싱 공격도 시도할 수 있어, 2차 피해 역시 발생한다.

이러한 공격을 예방하기 위해서는 우선 상대방의 이메일 주소 도메인이 이상하지 않은지 확인해야 한다(예를 들면 goggle[.]com이나 google-mail[.]com 등). 또한, 알 수 없는 상대방이 보낸 메일은 호기심이 생기더라도 클릭하지 않아야 한다. 경찰 출석 요구서나 국내외 정세자료 등 사전에 안내받지 않은 이메일 역시 무시하는 것이 좋다. 이 밖에도 이력서나 저작권 위반 혹은 인보이스 등으로 이름을 꾸민 첨부파일 역시 함부로 내려받거나 실행해서는 안된다. 마지막으로 메일에 포함된 URL로 외부 사이트가 연결됐을 때는 해당 사이트 주소를 정확하게 확인하고, 의심스럽다면 함부로 비밀번호를 입력해서는 안되며, 실수로 계정이 유출돼도 타인이 사용할 수 없도록 2단계 인증을 반드시 사용해야 한다.
[발행처=과기정통부, 국정원, 국방부, 교육부, 외교부, 통일부, 문체부, 경찰청, KISA 등]
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>