우체국 사칭도 등장 …국내 기업 표적삼는 '스피어피싱'

업무 관련 메일로 꾸며 악성코드 실행 유도


[아이뉴스24 김국배 기자] 국내 기업을 겨냥한 '스피어 피싱' 공격이 증가하고 있다. 타깃에 따라 이메일 제목과 내용을 업무와 관련된 것으로 교묘히 위장해 수신자가 악성코드가 담긴 파일을 실행할 가능성을 높이고 있다. 최근에는 우체국을 사칭한 경우도 나왔다.

13일 보안업체 안랩에 따르면 지난 10일 국내 기업을 대상으로 우체국을 사칭해 배송 정보 문서를 첨부한 이메일이 발견됐다.

비슷한 시기에 기업 구매담당자인 것처럼 속여 견적을 의뢰하며 발주서를 첨부해 보낸 메일도 포착됐다.

[자료=안랩]

분석 결과 메일에 첨부된 파일은 압축 파일로 내부에는 모두 악성 실행 파일(.exe)이 포함돼 있는 것으로 파악됐다. 차이점이 있다면 기존 유사 악성 메일의 첨부 파일이 zip, egg 등의 압축 파일 포맷을 사용한 것과 달리 이번엔 lzh, r22 등의 포맷이 쓰였다.

특히 이번에 확인된 악성코드는 외형은 마이크로소프트 프로그래밍 언어 중 하나인 비주얼 베이직으로 만들어진 것으로 보이나, 실질적인 악성 행위는 '나노코어'라는 이름의 닷넷(.NET) 기반 악성코드가 수행한다.

이번 경우 외에도 최근 국내 기업을 사칭한 악성 메일은 계속 늘어나고 있다.

지난달에는 공정거래위원회를 사칭해 '넴티' 랜섬웨어를 유포하는 메일이 발견됐다. 첨부된 압축 파일에는 PDF 문서로 위장한 악성 실행 파일이 포함돼 있었다. 호텔, 통신사 등을 사칭해 '이모텟' 악성코드를 유포하는 메일도 뿌려졌다. 이보다 앞선 지난해 12월에도 KEB하나은행을 사칭한 악성 메일이 유포되기도 했다.

스피어 피싱은 전통적인 방식이긴 하나 효과가 높은 공격이라고 보안업계는 말한다.

최수진 안랩 분석팀 주임연구원은 "아무리 보안 제품과 기술이 뛰어나더라도 사용자가 악성 메일을 열어 첨부 파일이나 링크를 클릭하는 것까지 막을 수는 없다"며 "의심스러운 메일은 물론 평소와 조금이라도 다른 메일을 수신했다면 각별히 주의해야 한다"고 말했다.

김국배기자 vermeer@inews24.com

관련기사


포토뉴스