Home > 전체기사

[긴급] 결제 주문서 사칭한 악성 이메일 대량 유포중

  |  입력 : 2021-01-25 16:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
불명확한 첨부파일 및 링크 실행 금지 등 최소한의 보안수칙으로 공격 회피할 수 있어

[보안뉴스 이상우 기자] ‘결제 및 인보이스’라는 제목의 악성 이메일이 대량으로 유포되고 있다. 이메일 본문에는 기업은행을 사칭해 “기업은행에 개설된 계좌에서 주문한 결제 주문서 사본을 첨부했다”며 첨부파일처럼 보이는 PDF 문서를 클릭하도록 하고 있다. 해당 PDF 문서 역시 ‘지급신청서’라는 문서 내용이 썸네일에 보이도록 제작해 사용자를 속이고 있다. 다만, 메일 본문에는 해당 은행의 로고나 양식 등을 사용하지 않았기 때문에 자세히 살펴보면 피싱이라는 사실을 쉽게 눈치챌 수 있다.

▲25일 오전 유포된 악성 이메일 화면[자료=보안뉴스]


해당 PDF 문서를 클릭할 경우 원드라이브로 연결돼 ‘지불 오더 사본’이라는 압축 파일(TGZ)을 내려받으며, 압축파일 내부에는 실행파일(EXE) 하나가 들어 있다. 악성코드 공유 사이트 바이러스토탈을 통해 확인해본 결과 해당 파일은 트로이목마로, 실행 이후 정보 유출 등 각종 악성 행위를 지속할 수 있다. 해당 악성코드는 지난해 중순에도 ‘에이전트 테슬라’라는 이름으로 대량 유포된 바 있으며, 당시에는 프레젠테이션 파일에 심어진 매크로를 통해 악성 기능을 수행했다.

이번 악성 이메일의 경우 <보안뉴스>와 국내외 보안기업이 강조하는 기본적인 보안수칙을 지키는 것만으로도 쉽게 공격을 회피할 수 있다. 우선 알 수 없는 상대가 보낸 이메일이다. 이메일 도메인은 루마니아에 있는 알루미늄 합금 제조기업으로, 공격자는 해당 기업을 공격해 유출한 이메일 계정을 악용해 악성 이메일을 배포한 것으로 보인다. 해당 기업과 거래를 하고 있지 않다면 이처럼 알 수 없는 상대방이 보낸 이메일의 첨부파일을 열어보지 않는 것이 바람직하다.

▲바이러스토탈에 올려본 해당 악성코드의 분석 화면[자료=보안뉴스]


첨부파일로 위장한 PDF 문서 역시 이미지 파일에 하이퍼링크를 삽입한 방식을 사용했다. 사용자는 이메일에 첨부된 링크나 첨부파일을 함부로 실행하지 않는 것으로 이러한 유형의 사이버공격을 예방할 수 있다.

내려받은 파일은 EXE 형태로 돼 있다. EXE 파일은 소프트웨어 실행파일 확장자로, 이를 클릭한 뒤 ‘동의’나 ‘허용’ 등을 누를 경우 악성 기능이 실행된다. 정상적으로 주고 받는 인보이스 등의 문서는 보통 PDF 등의 형식으로 발송되며, EXE 같은 실행 파일이나 문서 파일의 매크로를 사용하는 경우도 거의 없다.

마지막으로 사용자는 앞서 언급한 이메일 보안수칙을 지키는 동시에 주기적인 소프트웨어 업데이트와 함께 백신 등 보안제품의 ‘실시간 감시’ 기능 및 ‘자동 업데이트’ 기능을 활성화할 필요가 있다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)