기업과 정부기관을 사칭한 피싱 범죄가 끊이지 않고 있다. 최근 국내 대형 기획사를 사칭한 피싱 메일이 유포되고 정부기관을 사칭한 전화사기가 기승을 부리고 있어 각별한 주의가 요구된다.
20일 안랩 시큐리티대응센터(ASEC)와 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면, 최근 국내 대형 기획사를 사칭한 피싱 메일을 통해 악성코드가 유포되고 있다.
기준에 피싱 메일 주제로 가짜 로그인, 배송, 구매주문서, 견적서 등이 주를 이뤘는데, 이번에 발견한 피싱 메일은 기획사를 사칭한 저작권 위반 관련 내용이라는 점이 눈에 띈다.
공격자는 페이스북·인스타그램 광고에서 자신의 이미지를 무단으로 사용했으니 저작권 위반 요소를 제거해달라는 등 조치 요청과 함께 저작권 침해에 대한 강한 경고를 통해 사용자에게 불안감을 유발하도록 했다. 또 저작권 위반 여부를 확인하기 위해 링크 클릭을 유도했다.
사용자가 링크를 누르면 외부로 연결된 링크를 통해 '광고 저작권 위반 세부사항.rar'이라는 압축파일이 다운로드되고, 압축파일엔 '세부 사항 위반'이라는 파일이 담겼다. 특히 이 파일은 PDF 아이콘을 사용하고 파일명에 긴 공백을 둬 응용프로그램(EXE) 확장자를 숨겨 PDF로 위장하는 고전적인 수법을 사용했다. 파일을 한 번 클릭 하지 않으면 파일명 앞부분만 노출되는데, 드러나는 부분에 '세부 사항 위반.pdf'로 설정하고 뒷부분은 공백을 길게 추가해 PDF파일인 것처럼 사용자를 속인 것이다.
사용자가 PDF파일로 오인해 실행하면 최종적으로 'XWorm' 악성코드가 설치된다. XWorm은 서비스형멀웨어(MaaS·malware-as-a-service)로 판매되는 원격관리툴(RAT)이다. 감염 개인용컴퓨터(PC)에서 다양한 악성행위를 수행할 수 있도록 커스터마이징할 수 있다. 구체적으로 감염PC의 웹캠과 키보드 모니터링(키로거)은 물론 계정·시스템정보 등 민감 정보 탈취가 가능하다. 또 디도스(DDoS) 공격 수행, 랜섬웨어 배포, 추가 악성코드 다운로드 등도 할 수 있다.
보안 전문가들은 발신자 메일주소 확인 및 발신자에게 메일 발송 여부 직접 확인, 첨부파일 다운로드 시 알 수 없는 파일 실행 지양, 파일 확장자 표시 설정 등을 권고했다.
정부기관 사칭도 공격자가 주로 사용하는 수단이다. 최근 개인정보보호위원회를 사칭하는 전화사기가 발생했다. 공격자는 '개인정보 보호법 위반 조사통지서'라는 개인정보위 사칭 조사공문으로, 개인정보 유출 피해 배상을 위해 신분증(주민등록증·운전면허증) 사본과 계좌번호를 요구했다.
개인정보위는 피해 배상을 직접 또는 위탁 실시하지 않으며, 피해배상을 위해 신분증 사본이나 계좌번호 등 개인정보를 요구하지 않는다. 이러한 전화를 받았을 경우 절대 주민등록번호, 계좌번호 등 개인정보 제공 요구에 절대 응하지 말아야 한다.
조재학 기자 2jh@etnews.com
