'BTS 화보집'인 줄 알고 클릭했는데 '아뿔싸'

워드 문서파일로 위장한 악성코드 메일로 유포 중

이미지=게티이미지뱅크

최근 관심을 끌 만한 내용의 문서파일로 위장해 악성코드를 유포하는 피싱 메일이 지속적으로 발견되고 있다. 'BTS 화보집', '보잉737 맥스8 추락사고 관련 위험 항공사 리스트' 등 관심을 가질 만한 이슈를 악용하고 있어 주의가 요구된다.

안랩 시큐리티대응센터(ASEC)에 따르면 최근 국내 사용자들을 대상으로 악성코드를 다운로드 받게 하는 워드 문서 파일이 메일로 유포되고 있다. 이 문서 파일은 'BTS 화보집 및 스토리북'이라는 제목을 가지고 있는데 클릭하면 다른 실행파일을 다운로드 한다. 이 파일은 컴퓨터의 사용자 정보를 유출하고 서버와 접속해 또 다른 악성코드를 받아 실행하는 기능도 있는 것으로 분석됐다. BTS 관련 사진 등으로 여기고 클릭했다 개인정보가 유출되고 다른 악성코드에 감염될 수 있다는 얘기다.

또 '세무조정계산서' 등의 이름으로 위장한 악성 문서 파일도 유포되고 있다. 역시 활성화되면 실행파일 형태의 악성코드를 다운로드 받고 실행한다. 보잉737 맥스8 추락사고 이슈를 악용해 '위험 항공사 리스트가 있다'는 내용의 메일로 악성코드를 유포하는 사례도 발견됐다. 이 악성 메일에는 최근 발생한 '보잉737 맥스8 여객기 추락 사고' 요약과 "다크웹에서 유출된 (해당 기종을 이용하는)위험 항공사의 리스트를 첨부했다"는 내용이 포함돼 있다. 이와 함께 'MP4_142019.jar'라는 이름의 악성 파일도 첨부돼 있다.

만약 사용자가 이 첨부파일을 위험 항공사의 리스트로 착각해 무심코 실행하면 사용자 몰래 PC에 악성코드가 설치된다. 해당 악성코드는 사용자 PC정보를 수집해 공격자 서버와 통신하며 PC 원격 조종, 추가 악성코드 다운로드 등을 수행한다. 한창규 안랩 시큐리티대응센터(ASEC) 센터장은 "공격자는 악성코드 확산 목적으로 사용자를 속이기 위한 다양한 유포 방식을 활용한다"라며 "특히 사회적 관심이 높은 이슈를 악용하는 방식은 공격자가 자주쓰는 방식이며 향후에도 지속 활용될 가능성이 있기 때문에 더욱 각별한 주의가 필요하다"고 말했다.

◆악성 메일 5대 유형=이 같이 각종 정보들을 탈취하거나 악성코드에 감염시킬 수 있는 '피싱 메일'이 급증하면서 도메인 호스팅 전문 업체 후이즈는 최근 가장 유행하는 5대 악성 메일 유형 사례를 분석해 공지했다. 후이즈에 따르면 현재 가장 유행하는 방식은 발신 주소와 수신 주소를 동일하게 나타나도록 발신 주소를 위조하는 피싱 유형이다. 동일한 메일 주소를 확인 후 메일이 해킹된 것으로 오해한 메일 사용자가 메일에 첨부된 파일이나 본문 링크를 클릭하도록 유도하는 것이다.

또한 법원이나 검찰청, 경찰청 등 권위 있는 기관을 사칭해 마치 관공서에서 보낸 메일로 발신 주소를 위장하는 유형도 단골 수법이다. 이 밖에도 회사 내부 사람이 보낸 것처럼 메일 주소를 동일하게 위조하거나 '결산서 요청' 등의 제목을 사용해 거래처 메일인 것처럼 위장하기도 한다. SNS 계정이나 메일이 해킹됐다는 제목과 내용으로 로그인 정보나 정보 재설정 링크를 전달하는 유형 역시 성행하고 있다.

후이즈 관계자는 "최근 고객사로부터 이용 중인 메일이 해킹당한 것 같다는 문의가 급증하는데 발신 주소는 손쉽게 위조 또는 변조할 수 있기 때문에 발신 주소만으로 수신인을 신뢰해서는 안 된다"며 "의심스러운 메일은 본문의 링크나 첨부 파일을 클릭하지 말고 곧바로 삭제해야 한다"고 당부했다.

김철현 기자 kch@asiae.co.kr