안랩, 연말연시 노린 ‘유명 기업 및 기관 사칭’ 피싱 공격 주의 당부
- 연말연시를 노려 항공사의 화물 배송, 공과금 납부, 대형병원 건강 지원금 신청 등을 사칭한 내용으로 피싱 메일 유포 사례 다수 발견
- 피싱 메일 내 첨부파일 및 URL 실행 시 피싱 사이트로 연결, 계정 탈취 시도
- ▲출처가 불분명한 메일 속 첨부파일 및 URL 실행 금지 ▲URL 접속 시 기업 및 서비스의 공식 사이트 주소와 비교 ▲PC, OS, SW, 인터넷 브라우저 등에 대한 최신 보안 패치 적용 ▲백신 실시간 감시 기능 실행 ▲계정 별 다른 비밀번호 설정 등 기본 보안 수칙 준수 필요

안랩(대표 강석균, www.ahnlab.com )이 최근 연말연시 시즌을 노려 유명 기업 및 기관을 사칭해 피싱 메일을 배포하고, 가짜 사이트 접속을 유도한 공격 사례를 다수 확인하고 사용자 주의를 당부했다.

이번 사례에서 공격자는 유명 항공사•기관•대형병원 등을 사칭해 화물 배송이나 공과금 납부, 건강 지원금 신청 등 연말연시에 자주 발생할 수 있는 내용으로 피싱 메일을 유포했다. 메일에는 피싱 사이트로 연결되는 악성 첨부파일 및 URL을 포함해 피해자의 계정 탈취를 시도했다. 피싱 메일의 문장이 자연스럽고, 이미지 속에 악성링크를 다중으로 숨기는 등 고도화된 수법을 사용하고 있어 사용자의 각별한 주의가 필요하다. 

안랩은 이번 사례를 포함해 다양한 피싱 공격에 대한 보안 권고문, 공격 동향, IoC(침해지표) 등 전문적인 최신 위협 정보를 자사의 차세대 위협 인텔리전스 플랫폼 ‘안랩 TIP’로 제공 중이다. 또한, 안랩 V3 제품군과 샌드박스 기반 지능형 위협 (APT) 대응 솔루션 ‘안랩 MDS’는 이 같은 피싱 사이트로 연결되는 URL에 대한 탐지 및 실행 차단 기능을 지원한다.

[유명 항공사 배송 사칭 사례] 

먼저 물류 배송량이 증가하는 연말연시를 틈타 유명 항공사를 사칭한 피싱 공격 사례에서, 공격자는 ‘화물 도착 안내, 주문 배송 일정’이라는 제목으로 불특정 다수 기업•기관 사용자에게 피싱 메일을 발송했다(보충자료 1 참조). 메일 본문에는 ‘물품 수령 가능 여부를 확인해 달라’는 내용을 적어 사용자가 배송 정보 조회를 위해 첨부파일(.html)을 클릭하도록 유도했다. 

사용자가 첨부파일을 실행하면 항공사의 웹사이트를 모방한 가짜 로그인 페이지가 나타난다. 사용자가 자신의 계정 정보를 입력하고 ‘명세서 확인하기’ 버튼을 누르면, 해당 정보는 공격자의 C2 서버(*)로 즉시 전송된다. 이렇게 탈취된 계정정보는 추가적인 계정 해킹, 사칭 등 또 다른 범죄에 악용될 수 있다*C2 서버: Command & Control 서버. 공격자가 원격에서 정보탈취, 악성코드 유포 등 공격을 수행하기 위해 사용하는 서버

[보충자료1. 화물 배송 안내로 위장한 항공사 사칭 피싱 공격]

[공과금 납부 사칭 사례] 

겨울철에 관심이 높아지는 ‘전기세’ 키워드를 사용해 피싱 사이트를 유포하는 사례도 확인됐다. 공격자는 ‘11월 전기세 청구서’라는 제목으로 기업 및 기관 사용자에게 피싱 메일을 발송했다(보충자료 2참조). 

이 메일은 얼핏보면 ‘11월 전기세 청구서’라는 PDF 파일이 첨부된 것으로 보인다. 그러나 실제로는 공격자가 악성 URL이 삽입된 텍스트와 PDF 이미지를 조합해 첨부파일인 것처럼 교묘하게 위장한 것이다. 사용자가 전기세 내역 확인을 위해 첨부파일로 위장한 URL을 클릭하면, 사용자의 계정을 입력하도록 만든 피싱 사이트로 연결된다. 사용자가 의심 없이 자신의 계정을 입력하고 로그인 버튼을 누르면, 이 정보는 즉시 공격자의 서버로 전송된다.