공격자가 정부기관을 사칭한 피싱메일을 지속적으로 유포하고 있다. 메일 내 악성링크 클릭 시 악성코드 감염이나 해킹 등 피해를 볼 수 있어 각별한 주의가 요구된다.
30일 한국인터넷진흥원(KISA)에 따르면, 해커가 최근 불특정 다수를 상대로 국세청·행정안전부를 사칭한 해킹 메일을 유포한 뒤 '본인 확인'을 구실로 악성 링크를 클릭하도록 유도하는 사례가 지속 발생하고 있다. 메일을 보낸 사람은 국세청·행안부 등 정부기관으로 표기되지만 해당 기관의 이메일 계정이 아닌 다른 이메일 계정이다.
국세청은 지난 1월 연말정산 시즌을 맞아 국세청을 사칭한 악성 이메일과 문자메시지 등이 유포될 우려가 있다며 주의를 당부한 바 있지만, 여전히 사칭 메일이 기승을 부리는 것이다.
국가정보원 사칭 메일도 마찬가지다. 국정원이 지난달 16일 국정원 사칭 메일을 주의할 것을 안내했으나, 새로운 피해자를 노리며 메일을 뿌리고 있다.
이스트시큐리티 시큐리티대응센터(ESRC)는 최근 악성코드 분석 리포트를 통해 발신자명을 발신자명을 국정원으로 위장한 메일이 '경찰보고서'라는 제목으로 발송됐다고 발표했다.
메일엔 '국가정보원(한국).pdf' 파일이 첨부됐다. 특히 첨부된 경찰보고서를 읽어보고 즉시 회신해달라며 첨부파일 다운로드를 유도했다. 첨부파일을 열면 '사이버범죄 수사보고서'라는 제목의 문서로, 사이버범죄에 기소돼 답변이 필요하며 불응 시 체포될 예정이라며 메일 수신자에게 위협을 준다. 이번 국정원 사칭 메일은 최초 발견된 메일과 같은 내용으로, 첨부파일 해시값 역시 동일하다.
첨부파일 분석 결과, 경찰 보고서 사칭 외에 다른 악성행위는 드러나지 않았다. 하지만 ESRC 측은 △국정원 공지를 통해 피싱 메일임이 밝혀졌음에도 계속 유포되고 있는 상황 △메일 회신을 유도하는 점 등을 들어 메일 수신자의 반응을 살펴 이후 공격을 진행하기 위한 사전 작업일 수 있어 주의가 필요하다고 분석했다.
KISA는 성행하는 피싱메일 대응방안으로 △송신자 확인과 모르는 이메일·첨부파일 열람 금지 △이메일 수신 시 출처가 불분명한 사이트 주소 클릭 자제 △이메일을 통해 연결된 사이트의 경우, 일단 의심하고 정상 사이트와 일치 여부 반드시 확인 △운영체제와 자주 사용하는 문서 프로그램 등 최신 업데이트 수행 △바이러스 백신 업데이트와 수시 검사 △도메인네임시스템(DNS)에 메일보안 표준기술(SPF·DKIM·DMARC) 적용 등을 권고했다.
피싱으로 인한 피해 확산 방지를 위해 이용자의 적극적인 신고가 필요하다는 제언도 나온다.
유동훈 시큐리온 대표는 “신규 악성 인터넷주소(URL)은 필터링되지 않아 피해를 유발할 수 있다”면서 “사용자가 악성으로 의심되는 메일·문자를 개인 차원에서 삭제하고 넘어가기 보다 피해자 발생을 막기 위해 적극적인 신고가 필요하다”고 말했다.
조재학 기자 2jh@etnews.com
