세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사
송장·인보이스 사칭 악성 메일, 또 다시 국내 대량 유포
  |  입력 : 2019-03-10 23:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
거래처 정보 수집 통해 2차 범죄 악용할 목적인 듯
7일 유포된 악성 메일은 악성코드 동작 안했지만...재유포 가능성 높아


[보안뉴스 권 준 기자] 최근 새로운 송장·인보이스를 사칭한 악성 이메일이 또 다시 국내에 대량 유포 중인 것으로 드러났다.

보안전문 기업 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 지난 3월 7일부터 국내에 송장 혹은 인보이스를 위장한 새로운 악성 이메일이 다량 유포되고 있어 사용자들의 각별한 주의가 필요하다.

▲세무회계사무소를 사칭한 악성 메일 모습[이미지=ESRC]


지난 2월 19일에도 이와 유사한 공격 사례가 발견된 바 있는데, 이번 공격도 같은 위협의 연장선으로 ESRC 측은 추정하고 있다.

실제 유포된 이메일을 살펴보면 한글로 된 발신자 명으로 되어 있으며, 법인 결산에 필요한 서류를 요청한다는 메일 내용이 포함돼 있다. 하지만 발송된 메일의 도메인을 검색해 보면 해당 도메인의 홈페이지로 접속 되는 것이 아니라 다른 홈페이지로 접속되는 것으로 분석됐다.

“안녕하세요 법인결산에 필요한 서류 요청드려요. 수고하세요 xxxx세무회계사무소 항상 귀사의 무궁한 발전을 기원합니다”로 된 이메일 본문 내용을 살펴보면 실제 한국에서 보내진 이메일로 오해할 수 있을 만큼 내용이 정교하다. 메일 내용에는 특정 세무회계사무소를 사칭하고 있지만, 해당 사무소의 실제 도메인은 메일에 기재된 도메인과 전혀 다른 도메인을 사용하고 있다. 또한, 해당 사무소의 고객상담센터 대표 번호와 팩스번호를 교묘하게 뒷자리만 바꿔 사용하고 있다.

그러나 한 가지 다행스러운 건 사용자가 해당 악성메일의 엑셀 파일(의뢰_030719_001.xls)을 다운받아 열려고 시도하면 아래와 같이 파일이 손상됐거나 안전하지 않을 수 있다는 경고 메시지가 팝업으로 뜨게 된다는 점이다. 실제 해당 파일을 열어 보면 내용이 손상되어 알아볼 수 없고, 실제 악성코드는 작동하지 않는다는 게 ESRC 측의 설명이다.

ESRC 측은 “현재 해당 악성메일에 주의를 기울여야 하는 이유는, 공격자들이 최초 불특정다수에게 악성 메일을 뿌려 감염을 시키고 일단 감염된 사용자들로부터 거래처 정보를 수집하는 정황이 포착됐기 때문”이라며, “이렇게 수집한 거래처 정보를 활용해 기존 거래처를 사칭해서 메일을 보내고 있는 상황이며, 이는 거래처 정보를 수집해 또 다른 고객사를 상대로 금융정보 탈취 및 거래 계좌번호 변경 유도 등을 통한 범죄를 수행할 수 있어 각별한 주의가 필요하다”고 우려했다.

이어 “현재까지 확인된 메일에서는 해당 악성코드를 포함한 xls 파일이 실제 동작하지는 않지만, 공격자가 정상적으로 실행되는 악성코드가 포함된 송장 메일을 다시 유포할 가능성이 있기 때문에 주의해야 한다”고 당부했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)