Home > 전체기사
[직접 접속해보니] 교묘한 피싱 메일은 어떻게 우리를 속일까?
  |  입력 : 2020-11-10 18:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
“고객센터로 위장한 피싱 메일과 사이트에 직접 접속해봤습니다”

[보안뉴스 이상우 기자] 직장인이 지켜야 할 기본 보안 수칙 중에는 ‘알 수 없는 상대가 보낸 이메일의 URL이나 첨부 파일을 함부로 열어보지 말 것’이 반드시 포함돼 있다. 첨부파일을 통해 악성코드가 실행될 수 있으며, URL로 연결한 사이트에서 드라이브 바이 다운로드를 통한 공격이 발생할 수도 있기 때문이다.

[이미지=utoimage]


피싱 메일은 날로 정교해지고 있다. 과거에는 영어처럼 널리 쓰이는 언어로 ‘내 재산을 되찾도록 도와주는 사람에게 사례하겠다’는 식의 스캠이 많았지만, 이제는 한국어로 메일 본문을 작성하고, 업무 내용에 맞는 주제를 통해 우리를 현혹한다.

이러한 메일을 조심해야 한다는 이야기는 수도 없이 들었지만, 실제로 어떤 형태로 공격이 이뤄지는지 경험해본 사람은 드물다. 때문에 실제로 피싱 메일을 받았을 때 자신도 모르게 URL을 누르고, 해커가 원하는 행동을 하게 될 수 있다. 때문에 이번 기사에서는 교묘하게 위장한 실제 피싱 메일을 통해 사용자가 무엇을 조심해야 하는지 소개하려 한다.

우선 다음 이메일을 보자. 단순히 내용만 보면 국내 그룹웨어 서비스에서 내 회사 계정의 해외 로그인 시도가 있었다는 메일이다. 미국 버지니아주에서 알 수 없는 로그인 시도가 발생했으며, 도용이 의심스러우면 직접 해당 계정에 대한 소유권을 확인하라고 한다. 또한, 메일 아래에는 실제 회사의 주소까지 정확하게 표시돼 있어 나름 신뢰도를 높였다.

▲피싱 메일 본문을 잘 살펴보면 어색한 부분이 많다[캡처=보안뉴스]


필자가 이를 피싱 메일이라고 생각한 이유는 크게 두 가지다. 우선 메일 본문에 텍스트+이미지 조합이 아닌, 하나의 이미지로 돼 있다는 점이다. 실제 서비스 기업에서 보낸 이메일이라면 기본 양식에 본문 주요 내용만 바꿔 보낼 수 있도록 텍스트와 이미지로 구성돼 있다. 반면, 이번 메일은 본문 전체가 하나의 이미지 파일로 돼 있어 이미지 중 어떤 위치를 누르든 해커가 유도한 악성 사이트로 연결된다.

다음으로 본문에서 사용한 표현이다. 상단에 “이메일 계정은 알 수없는 위치에서 로그인, 아래 로그인...”이라는 표현은 한국어로 돼 있지만, 곱씹어 읽어보면 번역기를 쓴 것처럼 아주 어색하다. 또한, 국가, 주 등은 우리말을 사용했으나 도시 부분은 ‘시티’라고 어색하게 표현했다.

그렇다면 여기서 ‘이메일 소유권 확인’ 버튼을 누르면 어떻게 될까? (물론 절대로 하지 말아야 할 행동이다. 필자의 경우 바이러스 토탈을 통해 URL을 확인하고, 악성코드 설치 및 실행을 위한 사이트가 아니라고 판단해 해당 버튼을 눌렀다) 가장 먼저 생각할 수 있는 것은 드라이브 바이 다운로드다. 보안 기능을 실행한다며 가짜 플러그인 설치를 유도할 수도 있고, 악성 스크립트가 담긴 문서 파일을 ‘보안 정책’이라며 내려받게 할 수도 있다.

이번 피싱 메일의 경우 해당 서비스와 동일한 UI를 갖춘 피싱 사이트로 연결해 로그인을 위한 ID/비밀번호 입력을 유도했다. 쉽게 말해 계정 정보를 탈취하기 위한 피싱이다. 해당 로그인 사이트 역시 실제 사이트와 거의 흡사했다. 특히 UI에 쓰이는 각종 이미지를 실제 사이트 파일서버에서 가져왔기 때문에 쉽게 속을 가능성이 높다. 하지만 자세히 살펴보면 피싱 사이트라는 것을 알 수 있다.

▲피싱 사이트(왼쪽)와 실제 서비스 로그인 페이지(오른쪽)[캡처=보안뉴스]


우선 URL을 확인해야 한다. 실제 해당 서비스 로그인 사이트의 경우 주소가 ‘off***.hiwo***.com’으로 시작하지만, 해당 피싱 사이트는 ‘dev**.ato*****.com.br’이라는 알 수 없는 주소로 시작한다. 특히, 브라질 국가 도메인(.br)을 사용하면서도 주소에 닷컴(.com)이라는 2차 도메인을 추가해 사용자를 속이고 있다.

정보 유출을 목적으로 만든 가짜 사이트인 만큼, 페이지에 있는 각 기능 역시 모두 작동하지 않는다. 우선 실제 사이트에서는 상단에 있는 로고를 눌러 해당 서비스 홈 페이지로 이동할 수 있지만, 피싱 사이트에는 해당 기능이 없다. IP 보안 기능 역시 클릭해도 아무런 기능이 작동하지 않으며, 하단에 있는 ‘아이디 등록 신청’ 역시 하이퍼 링크가 아니다. 이 페이지에서 작동하는 것은 오직 비밀번호 입력창과 로그인 버튼뿐이다.

무엇보다 이러한 피싱 사이트는 바이러스 토탈 등 URL 검사 사이트도 통과한다. 페이지 자체에는 특별한 악성 코드가 없고, 단순히 사용자가 입력하는 정보를 다른 곳으로 전송하는 기능만 있기 때문이다.

사용자가 비밀번호 입력 칸에 자신의 실제 비밀번호를 입력한다면 해당 정보는 해커에게 고스란히 전달된다. 특히, 이 피싱 사이트의 경우 “암호가 일치하지 않습니다”는 메시지를 무조건 표시해 사용자가 다시 한 번 비밀번호를 정확히 입력하도록 유도하고 있다.

▲비밀번호 재입력 후 정상 서비스인 것처럼 사용자를 안심시켜 속았다는 사실을 모르게 했다. 물론 여기도 틀린 영어 문법이 보인다[캡처=보안뉴스]


이렇게 유출한 계정 정보를 바탕으로 해커는 추가적인 공격을 시도할 수 있다. 그룹웨어에 직접 접속해 해당 계정 소유자의 이름, 이메일, 전화번호 등 실제 개인정보를 유출하고, 이를 통해 실제 인물로 위장해 상급자나 협력업체에 악성 이메일을 보낸다. 악성 메일을 수신한 2차 피해자는 평소 연락을 주고받던 관계자인 만큼, 의심 없이 파일이나 URL을 열어볼 것이며, 이를 통해 해당 PC 및 회사 업무 시스템이 해커 손에 들어갈 가능성도 있다.

이러한 사고를 예방하기 위해서는 어떻게 해야 할까? 누차 강조하지만, 알 수 없는 이메일 첨부 파일이나 URL은 무조건 의심해야 한다. 또한, 특정 서비스 운영 혹은 고객센터를 사칭한다면 공식 이메일이 맞는지 확인해야 한다. 또한, 2단계 인증 등의 보호 기능을 지원하는 서비스라면 반드시 해당 기능을 활성화해 비밀번호가 노출돼도 보안을 확보할 수 있어야 한다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상