보안뉴스 창간 17주년을 축하합니다!!

클라우드 그룹웨어 ‘하이웍스’ 사칭 피싱메일 기승... 기업 사용자 계정 노려

입력 : 2024-02-29 11:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
가비아·하이웍스 사칭 피싱 키워드...서비스 만료, 기한내 연장 비용 결제, 메일함 용량 초과 등
사칭 하이웍스 피싱 페이지 연결해 로그인 계정·비밀번호 입력 유도
공식 메일 인증마크 및 발신 이메일 주소 확인...메일 내 첨부링크 클릭하지 말아야


[보안뉴스 이소미 기자] 최근 국내 클라우드 그룹웨어 업체 ‘하이웍스(hiworks)’를 사칭해 사용자 계정 탈취를 노리는 악성메일이 급증하고 있어 사용자들의 주의가 요구된다. 공격자들의 활발한 하이웍스 사칭 공격에 가비아(하이웍스) 운영팀에서는 26일 공지문을 통해 ‘가비아(하이웍스) 사칭 피싱메일 주의 사항’을 공지했다.

▲가비아를 사칭해 서비스 연장 비용 결제를 유도하는 화면[이미지=가비아]


비즈니스 언택트 문화가 확장되면서 사내는 물론 협력·거래업체와의 커뮤니케이션은 대부분 이메일을 통해 이루어지고 있다. 가비아(하이웍스)는 클라우드 기반의 보안 기능을 준수해 기업간의 비즈니스 메일 서비스를 지원한다. 공격자는 하이웍스가 기업에서 사용하는 그룹웨어라는 점을 노려 기업 사용자들의 계정 탈취를 위해 다양한 수법으로 피싱 메일을 유포하고 있다.

먼저, 하이웍스에서 실제로 제공하고 있는 월 단위 구독형 서비스 시스템을 악용한 ‘서비스 연장 비용을 결제해 주세요’ 라는 제목의 피싱메일이다. 해당 내용에는 ‘이용 중인 서비스의 만기일이 곧 다가온다’며, ‘연장 가능 기한 내 서비스 연장 비용을 결제해 달라’는 그럴듯한 문구를 담고 있다. 여기에 △대상 서비스명 △만기일 △기준 금액 △연장 가능 기한 등의 항목도 게시해 사용자로 하여금 ‘기한 내 연장’이라는 단어에 현혹돼 악성 링크가 삽입된 ‘서비스 연장하기’ 버튼을 클릭하도록 유도했다.

또한 <보안뉴스>가 발견한 하이웍스 사칭 메일에도 ‘서비스가 곧 정지됩니다’라는 제목으로 ‘하이웍스의 만기일이 2일 경과됐으며 만기 7일 후 서비스가 자동으로 정지된다’는 내용을 담고 있다. 심지어 ‘만기일로부터 30일 후에는 서비스 계약 해지 및 모든 데이터가 삭제된다’며, 역시 사용자가 ‘서비스 연장하기’ 링크를 클릭하도록 유도했다. 여기에도 △서비스명 △도메인/오피스아이디 △서비스 시작일 △서비스 만료일 등의 항목을 넣어 실제 이용하고 있는 서비스가 해지될 예정인 것처럼 위장했다.

▲하이웍스를 사칭해 서비스 계약 만료로 서비스 연장을 유도하는 화면[이미지=보안뉴스]


이외에도 ‘[주의] 메일함 용량이 초과되었습니다’라는 내용으로 ‘용량이 초과되면 메일이 수신되지 않으며 발송 시에도 원본 메일이 보낸메일함에 저장되지 않는다’는 내용으로 마치 기업 업무에 차질이 빚어질 것처럼 문구를 넣었다. 그러면서 ‘아래의 방법으로 메일함 용량을 확보해 달라’는 멘트와 함께 ‘MYBOX 용량 가져오기’, ‘메일함 정리하기’를 클릭하도록 유도하고 있다. 심지어 ‘메일함 정리하기 기능은 PC버전에서 사용이 가능하다’고 기재해 자연스럽게 PC 계정 탈취를 유도했다.

▲하이웍스를 사칭해 메일함 용량 초과 안내 멘트로 악성 링크 클릭을 유도하는 화면[이미지=보안뉴스]


과거에도 하이웍스를 사칭해 사용자 계정을 노리는 공격은 꾸준히 이루어졌다. 다만, 당시에는 한국어가 다소 어색한 문장 형태로 사용자가 쉽게 ‘비정상’적인 피싱 메일임을 인지할 수 있었다. 하지만 최근에는 자연스러운 문장과 ‘로고’, ‘화면 구성’ 등도 실제 화면과 흡사하게 구성해 사용자가 경각심을 갖지 않는다면 충분히 속아 넘어갈 정도로 수법이 교묘해 졌다.

이에 따라 하이웍스 측은 “공식 메일은 gabia.com 또는 hiworks.com의 메일주소로 발송되므로 보낸 사람의 메일 주소를 꼼꼼히 확인해 피싱메일에 접근하지 않도록 주의해야 한다”고 강조했다. 실제로 피싱 메일 내부에 첨부된 링크를 클릭하면 사용자 계정 아이디·비밀번호를 입력하도록 유도하는 피싱 페이지로 연결된다. 이번 공격 사례에서 피싱 페이지로 연결되는 링크는 △서비스 연장하기 △MYBOX 용량 가져오기 △메일함 정리하기 등으로 위장했다.

또한 하이웍스 측에서 발송하는 메일에는 ‘인증마크’가 표시된다고 안내했다. 하이웍스가 발송하는 정식 메일에는 자물쇠 모양의 인증마크가 이메일 제목 앞에 위치해 있다. 해당 인증마크가 없는 경우 사칭 메일이므로 메일 내 첨부된 링크를 클릭하지 않도록 주의하고 즉시 삭제할 것을 권고했다. 만약 피싱메일 내 링크를 실수로 클릭해 사용자 계정 정보를 입력했다면, 즉시 비밀번호를 변경하는 등의 보안조치를 진행해야 한다고 덧붙였다.

▲하이웍스 시스템 발송 인증마크와 정식 메일 주소 화면[이미지=가비아]


이렇듯 하이웍스 등 기업용 이메일 서비스를 사칭해 서비스 만료, 저장공간 부족 등의 이유로 악성 URL 접속을 유도하는 악성 메일은 꾸준히 발생하고 있는 공격 형태다. 만약 피싱 사이트에 계정정보를 입력한다면 해당 정보가 공격자들의 서버로 넘어가 2차 피해를 당할 가능성이 크기 때문에 각별한 주의가 필요하다. 또한 사전에 악성코드 감염 예방을 위해 백신 프로그램 등은 최신 버전으로 업데이트해 두는 것이 바람직하다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)