급여명세서에 악성코드 숨기고, 사장인척 메일 보내고


직장인 노린 사이버 공격 기승

[아이뉴스24 김국배 기자] #1. 10월 셋째주. '10월 급여명세서'라는 제목의 스팸 이메일이 뿌려졌다. 첨부된 엑셀 파일을 클릭하면 매크로 사용을 유도하는 창이 나타나고 실행할 경우 악성 파일을 내려받게 된다. 월급날을 기다리는 직장인들을 노린 것이다.

#2. 지난 22일에는 '송장'으로 가장한 스팸 메일이 유포됐다. 이번에는 첨부파일이 아닌 가짜 드롭박스 링크로 악성파일을 내려 받게끔 유도했다.

이달 들어 직장인을 노리는 악성코드가 잇따라 발견되고 있다. 급여나 견적서, 송장 등 업무과 관련된 내용으로 직장인들의 관심을 끄는 방식이 주로 쓰인다.

최근 유포된 '급여명세서'를 가장한 악성 스팸 메일 [사진=안랩]

안랩 관계자는 "10월 중순부터 급여명세서, 견적서, 송장 등의 제목으로 위장한 스팸 메일이 대량 유포됐다"며 "첨부 파일은 업무상 자주 사용하는 엑셀 파일인 경우가 대부분"이라고 말했다. 직장인이라면 익숙한 용어와 파일로 미끼를 던지는 셈이다.

엑셀 파일을 실행하면 매크로 사용을 유도하는 알림창이 나타나고, 사용자가 이를 활성화하면 악성 파일을 내려받게 된다. 주로 운영체제(OS) 등 컴퓨터 정보를 수집해 공격자 서버로 전송하며, 추가로 악성코드를 다운로드할 수도 있다.

최근엔 첨부파일이 아닌 '드롭박스' 링크를 보내 악성코드 다운로드를 유도하는 수법도 보이고 있다. 드롭박스는 많은 기업에서 용량이 큰 파일을 주고받을 때 사용하는 파일 공유 서비스다. 공격자는 이 점을 노려 직장인들에게 익숙한 드롭박스 로고와 함께 악성 링크를 메일 본문에 포함시켰다.

안랩 관계자는 "공격자들이 국내 기업 환경, 직장인들의 패턴 등을 파악해 교묘히 악용하고 있다"며 "업무과 관련된 제목이나 사람, 업체에서 온 메일의 경우 첨부파일이나 링크를 클릭하기 전 각별히 주의해야 한다"고 경고했다.

이스트시큐리티는 이런 공격의 배후로 악성코드가 유사하다는 점 등을 들어 러시아 해킹 조직으로 알려진 'TA505'를 지목하기도 했다. 지난 7월 여름 휴가철을 겨냥해 특정 국내 항공사의 전자 항공권(e-티켓)으로 위장한 악성 메일을 보내고, 올 상반기엔 국내 기업을 타깃으로 '클롭' 랜섬웨어를 유포했던 그 조직이다.

드롭박스로 위장한 링크를 담은 악성 스팸 메일 [사진=안랩]

국내외를 막론하고 악성코드는 없지만 기업의 최고경영자(CEO)를 사칭해 직원을 속이려는 메일 사기(BEC)도 늘고 있다. CEO처럼 가장해 은행 계좌로 돈을 송금하게 하거나 인사 등 중요 정보를 보내도록 유도하는 것이다.

글로벌 보안기업 파이어아이에 따르면 CEO를 사칭한 공격은 이번 3분기 동안 25%나 증가했다. 대부분 타깃을 정해 공격하는 '스피어 피싱' 방식으로 주말보다 주중에 발생 빈도가 높았다. 목요일과 금요일, 특히 월말에 피크를 찍었다. 링크드인, 페이스북 같은 소셜 미디어(SNS) 사이트에서 특정 직원을 조사해 목표로 삼는다고 한다.

보안업계 관계자는 "발신자가 CEO일 경우 직원들의 주의를 끌기 쉬운 데다 대다수는 메일에 적힌 내용에 대해 질문하기를 꺼려 함정에 빠지기 쉽다"고 말했다.

김국배 기자 vermeer@inews24.com







포토뉴스