최근 한 달여 간 피싱 이메일 공격자들이 가장 많이 활용한 키워드는 전체의 28.1%를 차지한 ‘회신(Re)’으로 나타났다. 공격자들은 주로 이메일 제목의 말머리에 ‘Re’를 붙였다. 그다음으로는 주문을 뜻하는 ‘Order’가 15.6%로 2위였으며, 지불을 뜻하는 ‘Payment’가 11.8%로 3위를 기록했다.
가장 큰 비중을 차지한 회신(Re)의 경우, 수신자가 피싱 메일을 이전에 오고 갔던 대화의 연장인 것으로 착각할 수 있기 때문에 공격자들이 자주 사용하는 것으로 추정된다. 뒤를 이은 주문과 지불은 국내·해외를 가리지 않고 온라인 기반 금전거래가 많아지는 최근의 트렌드를 반영해 사용자의 주의를 끌기 위한 시도로 해석할 수 있다.
안랩 분석 결과, 피싱 이메일 공격으로 정보 탈취 목적의 ‘인포스틸러(Infostealer)’ 악성코드 감염을 시도하는 위협 유형이 전체의 33.3%로 가장 높은 비중을 보였다. 이어서 첨부파일에 악성 스크립트를 포함해 정상 페이지와 구분이 어려운 가짜 로그인 페이지를 띄우는 ‘가짜 페이지(FakePage)’ 노출 유형이 23.6%, 첨부파일 실행 등으로 PC 감염 후 다른 악성코드를 추가로 내려받는 ‘추가 악성코드 다운로드(Downloader)’ 유형이 17.1%로 3위를 기록했다.
1위로 집계된 인포스틸러(Infostealer)의 경우 사용자가 웹 브라우저에 저장한 포털, 회사 시스템 접속 등 계정정보나 메일·가상자산 지갑·파일 등에 저장된 사용자 정보를 광범위하게 탈취하기 때문에 직접적인 금전 피해를 불러올 수 있어 공격자들이 자주 사용하고 있다. 공격자는 인포스틸러나 가짜 페이지 공격으로 탈취한 계정정보를 활용해 2차 공격을 진행할 수 있으며, 사용자를 속여 다운로더 악성코드를 감염시킨 후 랜섬웨어 등 다양한 악성코드를 추가 설치할 수도 있다.
공격자들이 사용하는 첨부파일의 종류에서는 .zip, .rar, .gz 등 ‘압축 파일’ 유형이 전체의 35.3%로 1위로 나타났다. 다음으로는 .img, .iso 등 확장자를 가진 ‘디스크 이미지’ 파일[1] 유형이 26.2%로 뒤를 이었다. .html, .shtml, .htm, .vbs 등 확장자를 지닌 ‘스크립트’ 파일은 24.3%로 3위로 집계됐다.
피싱 메일로 인한 피해를 예방하기 위해서는 △이메일 발신자 등 꼼꼼히 확인 △의심스러운 메일 내 첨부파일 및 URL 실행 금지 △비밀번호 웹브라우저 저장 자제 및 비밀번호 주기적 변경 △V3 등 백신 프로그램 최신버전 유지 및 피싱 사이트 차단 기능 활성화 △사용 중인 프로그램(OS/인터넷 브라우저/오피스 SW 등)의 최신버전 유지 및 보안 패치 적용 등 기본 보안 수칙을 준수해야 한다.
김건우 안랩 시큐리티대응센터(ASEC)장은 “피싱 메일을 활용한 악성코드 유포나 정보 탈취 시도는 공격자들이 오랫동안 애용하고 있는 방식”이라며 “최근에는 그 수법이 더욱 고도화되고 있기 때문에 사용자는 출처가 불분명한 메일 속 URL과 첨부파일 실행을 하지 않는 등 보안 수칙을 생활화해야 한다”고 강조했다.
안랩은 공격자가 정보 유출·다양한 악성코드 유포·온라인 사기 행위 등 공격을 수행하기 위해 악의적인 속임수를 활용한 이메일을 ‘피싱 메일’로 분류하고 있다. 안랩은 이 분류기준으로 악성 첨부파일을 포함하고 있는 피싱 이메일에 대해 공격자들이 자주 사용하는 키워드와 위협 유형, 첨부파일 확장자 등 위협 트렌드를 분석했다. 분석에는 자사의 악성코드 분석·대응조직 ASEC(안랩시큐리티대응센터)이 자체 구축한 메일 허니팟[2]과 샘플 자동분석 시스템 ‘RAPIT’을 활용했다.
이성수 글로벌에픽 기자 epic@globalepic.co.kr