최근 메타를 사칭해 인스타그램 사용자를 표적으로 삼는 이메일 피싱 공격이 등장했다.
IT 보안 전문 기업 에스에스앤씨(대표 한은혜)는 이메일 보안 솔루션인 퍼셉션포인트를 통해 이러한 인스타 그램 사용자를 대상으로 한 이메일 피싱 공격이 발견됐다며 개인의 주의를 당부한다고 21일 밝혔다.
이번 이메일 공격은 인스타그램 사용자에게 '사용자가 인스타그램 내에서 저작권을 침해했다'고 이메일로 안내하고 해당 계정이 '48시간 이내에 서비스에서 영구 삭제'되는 것을 방지하기 위해서는 제공된 링크를 클릭하고 '이의신청 양식'을 제출하도록 유도하는 방식이다.
이 링크를 클릭하면 사용자는 항소 양식으로 연결되는 다른 링크를 클릭하도록 또 다른 웹페이지로 리디렉션된다. 이 공격의 독특한 점은 클릭 가능한 여러 요소에 인스타그램의 실제 웹사이트로 연결되는 링크를 포함하고 있어 사용자가 피싱 공격임을 쉽게 알아채지 못하도록 한다는 점이다.
퍼셉션포인트 보안 연구원은 “이번 공격방식은 실제 인스타그램의 계정 2단계 인증 페이지로 연결시킴으로써 사용자가 사기공격인지 알아채지 못하게 안심시킨 다음 계정정보를 추가 입력하는페이지로 유도한다는 점에서 경각심을 가져야 한다”고 말했다.
이어 “최근 공격방식이 2단계 인증 프로세스를 우회하는 방식으로 진화하고 있어 개인의 주의 만으로는 부족해 해당 공격을 탐지하고 방어할 수 있는 보안 프로토콜 강화가 필요하다”고 강조했다.
한은혜 대표는 “최근 진화하는 이메일 공격은 정교한 사회 공학 전술을 능숙하게 사용해 높은 신뢰도를 보유한 브랜드 사칭과 긴급한 사기 시나리오의 결합으로 아무리 조심성이 강한 사용자라도 무장 해제 시킨다”며 “사회 공학적 보안 위협에 직면하는 강화된 보안 인식과 최첨단 보안 솔루션이 개인과 조직에게 반드시 필요한 시점”이라고 설명했다.
안수민 기자 smahn@etnews.com