[긴급] 결제 주문서 사칭한 악성 이메일 대량 유포중

불명확한 첨부파일 및 링크 실행 금지 등 최소한의 보안수칙으로 공격 회피할 수 있어

[보안뉴스 이상우 기자] ‘결제 및 인보이스’라는 제목의 악성 이메일이 대량으로 유포되고 있다. 이메일 본문에는 기업은행을 사칭해 “기업은행에 개설된 계좌에서 주문한 결제 주문서 사본을 첨부했다”며 첨부파일처럼 보이는 PDF 문서를 클릭하도록 하고 있다. 해당 PDF 문서 역시 ‘지급신청서’라는 문서 내용이 썸네일에 보이도록 제작해 사용자를 속이고 있다. 다만, 메일 본문에는 해당 은행의 로고나 양식 등을 사용하지 않았기 때문에 자세히 살펴보면 피싱이라는 사실을 쉽게 눈치챌 수 있다.

▲25일 오전 유포된 악성 이메일 화면[자료=보안뉴스]

해당 PDF 문서를 클릭할 경우 원드라이브로 연결돼 ‘지불 오더 사본’이라는 압축 파일(TGZ)을 내려받으며, 압축파일 내부에는 실행파일(EXE) 하나가 들어 있다. 악성코드 공유 사이트 바이러스토탈을 통해 확인해본 결과 해당 파일은 트로이목마로, 실행 이후 정보 유출 등 각종 악성 행위를 지속할 수 있다. 해당 악성코드는 지난해 중순에도 ‘에이전트 테슬라’라는 이름으로 대량 유포된 바 있으며, 당시에는 프레젠테이션 파일에 심어진 매크로를 통해 악성 기능을 수행했다.

이번 악성 이메일의 경우 <보안뉴스>와 국내외 보안기업이 강조하는 기본적인 보안수칙을 지키는 것만으로도 쉽게 공격을 회피할 수 있다. 우선 알 수 없는 상대가 보낸 이메일이다. 이메일 도메인은 루마니아에 있는 알루미늄 합금 제조기업으로, 공격자는 해당 기업을 공격해 유출한 이메일 계정을 악용해 악성 이메일을 배포한 것으로 보인다. 해당 기업과 거래를 하고 있지 않다면 이처럼 알 수 없는 상대방이 보낸 이메일의 첨부파일을 열어보지 않는 것이 바람직하다.

▲바이러스토탈에 올려본 해당 악성코드의 분석 화면[자료=보안뉴스]

첨부파일로 위장한 PDF 문서 역시 이미지 파일에 하이퍼링크를 삽입한 방식을 사용했다. 사용자는 이메일에 첨부된 링크나 첨부파일을 함부로 실행하지 않는 것으로 이러한 유형의 사이버공격을 예방할 수 있다.

내려받은 파일은 EXE 형태로 돼 있다. EXE 파일은 소프트웨어 실행파일 확장자로, 이를 클릭한 뒤 ‘동의’나 ‘허용’ 등을 누를 경우 악성 기능이 실행된다. 정상적으로 주고 받는 인보이스 등의 문서는 보통 PDF 등의 형식으로 발송되며, EXE 같은 실행 파일이나 문서 파일의 매크로를 사용하는 경우도 거의 없다.

마지막으로 사용자는 앞서 언급한 이메일 보안수칙을 지키는 동시에 주기적인 소프트웨어 업데이트와 함께 백신 등 보안제품의 ‘실시간 감시’ 기능 및 ‘자동 업데이트’ 기능을 활성화할 필요가 있다.
[이상우 기자(boan@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)