"급여 변동 사항 확인하세요" 이상한 인사 담당자 메일, 피싱이었다

안랩, 최근 유행하는 피싱 메일 유형 경고
기업 흉내 낸 가짜 사이트로 접속 유도

게티이미지뱅크

정보 보안 전문 기업 안랩이 최근 유행하는 피싱(개인정보 불법 취득을 위한 사기) 이메일 가운데 사내 인사팀이나 시스템 관리자를 사칭하는 경우가 늘고 있다고 11일 밝혔다.

이날 안랩이 공개한 피싱 메일 사례를 보면 ①메일을 보낸 공격자는 기업 인사 부서를 사칭해 '급여 변동 사항을 확인하라'는 피싱 메일을 퍼뜨렸다. 본문에는 "급여 변동 사항을 PDF 파일, 온라인 포털 등에서 확인할 수 있다"는 문구와 함께 HTML(웹 문서) 파일을 첨부해 실행하도록 했다.

첨부파일을 실행하면 소속된 기업 공식 홈페이지를 흉내 내는 등 정교하게 만들어진 가짜 로그인 페이지가 등장한다. 이 가짜 사이트엔 접속하자마자 사용자의 개인 아이디가 자동으로 입력돼 있어 사용자가 실제 기업 홈페이지에 접속했다고 혼동하기 쉽다. 안랩 측은 "공격자가 임직원 이메일을 미리 수집하는 등 계획된 표적 공격을 진행했음을 알 수 있다"고 밝혔다.

급여 변동 안내로 위장한 피싱 메일. 안랩 제공

다른 피싱 사례는 ②시스템 메일을 흉내 내 미수신된 이메일을 확인하라는 내용을 담은 메일이다. 이 메일은 "귀하의 사서함에 배달되지 않은 이메일 메시지 5개가 있다"며 링크 클릭을 유도했다. 링크를 누르면 가짜 로그인 페이지에 계정 정보 입력을 요구하며 입력을 마친 뒤에는 웹사이트가 해당 이메일 계정의 정상 도메인 주소로 자동 이동하기 때문에 피싱 피해 사실을 알기도 어렵다.

사용자가 피싱 페이지에 비밀번호를 입력하면 공격자는 빼앗은 비밀번호로 다른 계정에 접속하거나 관리 권한을 얻어 더 큰 피해를 가져올 수 있다. 안랩은 출처가 불분명한 메일 속 첨부파일이나 링크를 실행하지 말고 접속했을 경우라도 실제 공식 홈페이지에 접속한 것인지 꼼꼼히 확인하라고 당부했다.

이익규 안랩시큐리티 인텔리전스 센터(ASEC) 연구원은 "정교한 가짜 로그인 페이지를 사용한 계정 탈취 시도는 꾸준히 발생하고 있다"며 "피싱 유형을 숙지하고 기본 보안 수칙을 꾸준히 준수하면 피해를 예방할 수 있다"고 밝혔다.

인현우 기자 inhyw@hankookilbo.com