Home > 전체기사
인기 회계 프로그램 제로에서 온 것 같은 악성 메일
  |  입력 : 2017-12-28 15:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
제로가 발행한 것 같은 인보이스 관련 메일, 현재 위험
이번 달만 두 번째...기업 노리는 이메일 공격 빈번, 다양해져


[보안뉴스 문가용 기자] 해외에서 인기리에 사용되고 있는 유명 회계 소프트웨어인 제로(Xero)를 활용한 이메일 사기 공격이 대규모로 진행되고 있다. 소프트웨어가 해커들에게 뚫린 것은 아니고, 제로로 발행한 인보이스와 똑같이 생긴 위조문서가 먹이처럼 피해자들을 낚아채고 있다. 이메일 보안 전문 업체인 메일가드(Mailguard)가 발견했다.

▲ 피싱 이메일의 사례 [이미지 = 메일가드 블로그]


피해자는 먼저 워드 문서가 첨부된 이메일을 받는다. 이메일 제목과 파일 이름 모두 인보이스인 것처럼 꾸며져 있으며 악성 매크로를 포함하고 있다. 메일가드는 매크로에 대해 “소프트웨어 속 소프트웨어”라고 설명하며 “사용자 눈에 보이지 않는 부분에서 실행되기 때문에 악성 프로그램이 숨어들기 딱 좋은 곳”이라고 경고한다.

또한 .doc 파일에 매크로를 심는 공격은 흔한 일이며, 매크로 자체가 악성이기보다 매크로가 사용자 몰래 추가로 다운로드 받는 페이로드나 코드가 악성일 가능성이 높다고 메일가드는 말한다. “바이러스일 수도 있고, 스파이웨어일 수도 있으며, 랜섬웨어일 가능성도 있습니다.” 이번에 메일가드가 발견한 제로 사기 공격에서는 어떤 멀웨어가 연루되어 있는지 명확하게 설명하지 않았다.

위조 첨부 파일은 정말 정교하게 만들어져 있으며 피해자의 이름이 정확하게 기재되어 있다. 제로 소프트웨어를 통해 만든 것처럼 보이는 이메일 주소 역시 기입되어 있다. 꼼꼼히 확인한다고 해도 판별이 어려울 정도라고 메일가드는 설명한다. 이러한 문서가 하루에도 수천 건씩 발송되고 있으니 각별히 조심해야 한다고 메일가드는 강조했다.

그러나 피해자가 이 문서를 다운로드 받아 연다고 곧바로 불법 이체가 시작되는 건 아니다. 대신 피해자에게 “제로와의 계약 내용에 따라 돈이 당신의 계좌로부터 빠져나갈 것”이라는 내용의 메시지가 전달된다. 메일가드는 피해자들이 정확하게 어떤 식으로 돈을 잃는지는 설명하지 않고 있다. 대신 “첨부파일을 열기 전 출처 확인을 철저하게 하고, 받기로 예정된 것이 아니면 첨부파일이나 링크 모두 열지 않는 것이 가장 좋다”고 권고한다.

제로가 이메일 사기 공격에 활용된 건 이미 이번 달에만 두 번째다. 한국에서는 제로가 널리 사용되고 있지 않아 이 공격이 대단히 위협적일 것 같지 않지만, 한국에서 인기가 높은 회계 소프트웨어를 가지고 누군가 이번 제로 공격을 응용할 수 있으니 회계 업무 일부를 이메일로 진행하는 직무를 가진 사람은 이메일 발송자 확인을 철저히 하는 습관을 유지하는 게 중요하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)