안랩(대표 강석균)이 2024년 2분기 동안 수집한 피싱 이메일 데이터를 분석한 결과, ‘결제∙구매’, ‘배송∙물류’, ‘공지∙알림’과 같은 키워드를 악용한 피싱 이메일이 대폭 증가한 것으로 나타났다. 이와 함께 악성 첨부파일의 유형과 확장자 분석도 포함된 이번 보고서는 사용자의 각별한 주의가 필요함을 강조했다.
■가장 많이 사용된 키워드: 결제∙구매
이번 분기 동안 피싱 이메일에서 가장 많이 사용된 키워드는 ‘결제∙구매’로 전체의 27.7%를 차지했다. 이 키워드는 사용자들의 주의를 끌기 위한 주요 수단으로 활용되었다. ‘Payment(결제)’, ‘Order(주문)’, ‘Invoice(청구서)’ 등 금전 거래와 관련된 용어가 자주 사용되었으며, 이를 통해 공격자들은 사용자의 호기심을 자극해 피싱 링크를 클릭하게 유도했다.
‘배송∙물류’ 관련 키워드도 20.6%로 높은 비중을 기록했다. ‘Delivery(배송)’, ‘Shipment(운송)’ 등의 단어가 자주 사용되었으며, 유명 물류 업체명을 사칭해 사용자의 신뢰를 얻으려는 시도가 잦았다. 세 번째로 많이 사용된 키워드는 ‘공지∙알림’(8.7%)으로, ‘Urgent(긴급)’, ‘Notice(안내)’ 등의 단어를 사용해 사용자의 불안한 심리를 자극했다.
■악성 첨부파일 유형: 가짜 페이지가 절반 차지
피싱 이메일에 첨부된 파일 유형 중에서는 ‘가짜 페이지(Fake Page)’가 50%로 가장 높은 비율을 차지했다. 이들 가짜 페이지는 HTML 등으로 제작되어, 로그인 페이지나 결제 페이지로 위장해 사용자의 계정 정보를 탈취하려는 목적을 가지고 있었다. 보고서에서는 이러한 가짜 페이지가 정상적인 페이지의 구성 요소를 모방해 사용자가 속기 쉽다고 경고했다.
그 외에도 ‘다운로더(Downloader)’ 유형의 첨부파일이 13%로 뒤를 이었으며, ‘트로이목마(Trojan)’가 10%를 차지했다. 이외에도 사용자 정보를 탈취하는 ‘인포스틸러(Infostealer)’와 이전 분기에는 발견되지 않았던 ‘드로퍼(Dropper)’, ‘애드웨어(Adware)’ 등이 탐지되었다.
■첨부파일 확장자: 스크립트 파일 가장 많아
첨부파일의 확장자 유형에서는 ‘스크립트 파일’이 전체의 50%로 가장 많이 사용된 것으로 나타났다. 특히, ‘.html’, ‘.shtml’, ‘.htm’과 같은 확장자가 자주 사용되었으며, 주로 가짜 페이지를 웹 브라우저에서 실행하기 위해 사용된 것으로 분석되었다. 보고서에 따르면 이러한 파일은 실행 시 사용자로부터 계정 정보를 탈취하는 데 악용된다고 한다.
‘압축파일(.zip, .rar, .7z)’도 29%로 높은 비중을 차지했으며, 이는 악성 실행 파일을 은닉하기 위해 사용된 것으로 추정된다. 마지막으로 ‘.doc’, ‘.xls’, ‘.pdf’ 등의 문서 파일이 12%로 확인되었다. 이러한 문서 형태의 파일은 사용자가 무심코 실행할 가능성이 높아 더욱 주의가 필요하다고 강조되었다.
안랩은 피싱 이메일로 인한 피해를 예방하기 위해 사용자가 메일 발신자를 철저히 확인하고, 의심스러운 메일의 첨부파일과 URL을 실행하지 말 것을 권고했다. 또한, 사이트별로 다른 계정을 사용하고 비밀번호를 주기적으로 변경하는 등의 기본적인 보안 수칙을 지킬 것을 당부했다.
안랩 시큐리티 인텔리전스 센터의 양하영 실장은 “피싱 메일의 문구와 첨부파일이 점점 고도화되고 있어, 사용자는 다양한 피싱 유형을 숙지하고 기본적인 보안 수칙을 준수하는 것이 중요하다”고 말했다.
한편, 안랩은 최신 위협 정보를 자사의 차세대 위협 인텔리전스 플랫폼 ‘안랩 TIP’을 통해 제공하고 있다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security★