안랩(대표 강석균)이 최근 업무 관련 메일로 위장해 악성코드를 유포하는 사례가 증가하고 있다며 사용자들에게 주의를 당부했다. 공격자는 주로 클라우드 기반 그룹웨어나 저작권 위반 안내 메일을 가장해 악성코드를 배포하고 있어 개인과 조직 모두 세심한 보안 관리가 필요하다.
■클라우드 그룹웨어 악용한 피싱 공격
안랩은 많은 조직에서 사용하는 클라우드 그룹웨어의 대용량 첨부파일 기능을 악용한 사례를 확인했다. 공격자는 “견적 요청”이나 “프로젝트 순서”와 같은 제목의 이메일을 발송하고, 메일 본문에 “서명 후 회신해 달라”는 내용과 함께 대용량 첨부파일 URL을 포함했다.
사용자가 URL을 클릭하면 정보탈취형 악성코드(인포스틸러)가 다운로드된다. 이 악성코드는 감염된 PC에서 다양한 정보를 수집해 공격자의 서버로 전송한다. 공격 방식이 사용자가 익숙한 업무 환경을 악용한 만큼, 메일 수신 시 출처를 반드시 확인해야 한다.
■저작권 위반 안내로 위장한 공격
이외에도 유명 기업을 사칭해 저작권 위반 안내 메일로 위장한 사례가 다수 발견됐다. 공격자는 메일에 “귀하의 웹사이트에서 저작권 침해 콘텐츠가 발견됐다”는 긴급 메시지를 삽입하고, “저작권 침해 콘텐츠를 확인하십시오”라는 문구에 악성 URL을 포함했다.
이 URL을 클릭하면 실행 파일(.exe)과 DLL 파일 등이 포함된 압축파일이 다운로드된다. 특히 공격자는 실행 파일명을 .pdf로 위장하고 공백을 삽입해 실제 확장자가 .exe임을 숨기는 수법을 사용했다. 사용자가 해당 파일을 실행하면 키보드 입력값 탈취, 웹캠 접근, 계정 정보 수집 등 다양한 악성 행위가 이루어진다.
안랩은 자사의 V3 제품군과 샌드박스 기반 지능형 위협 대응 솔루션인 ‘안랩 MDS’를 통해 이러한 악성 파일과 URL을 탐지하고 실행을 차단하고 있다고 밝혔다. 또한, 피싱 메일 공격과 관련된 IoC(침해지표) 및 최신 피싱 동향 정보를 ‘안랩 TIP’ 플랫폼에서 제공 중이다.
안랩은 피해를 예방하기 위해 다음과 같은 보안 수칙을 제안했다.
출처가 불분명한 메일의 URL 및 첨부파일 실행을 금지하고, 오피스 SW, 운영체제(OS), 브라우저 등 프로그램 최신 보안 패치 적용은 필수다. 그리고 백신 프로그램의 최신 상태 유지 및 실시간 감시 기능 실행은 기본이다.
조직 차원에서는 내부 보안 점검과 패치를 정기적으로 수행하고, 보안 솔루션 활용 및 임직원 보안 교육을 강화해야 한다고 강조했다.
안랩 분석팀의 장서준 선임은 “사이버 공격은 계속 진화하고 있으며, 특히 업무와 관련된 메일을 이용한 공격은 사용자의 경계심을 무너뜨리는 데 효과적”이라며, “개인과 조직 모두 세심한 주의를 기울여야 추가 피해를 막을 수 있다”고 말했다.