"회신을 부탁드립니다"…더 치밀하고 교묘해진 피싱

[서울=뉴시스]송혜리 기자 = #존경하는 정책자문위원님께, 보안서약서 작성 및 회신을 부탁드립니다.

#한국CFO협회에서 개최하는 7/20(목)CFO조찬 세미나 강연 요청을 드립니다.

국내외 주요 기관에 소속된 400명 이상의 인사들에게 이와 같은 내용이 담긴 스피어피싱 메일이 발송돼 보안 전문가들이 각별한 주의를 당부했다.

이번에 발견된 스피어피싱은 수신자가 관심을 가질 만한 맞춤형 내용을 담아 회신을 유도했으며, 이를 통해 백신 프로그램에 탐지돼 삭제되지 않는 악성코드를 유포했다. 이 악성코드는 피해자 PC를 장악해 결국 개인정보를 훔친다.

3일 보안전문기업 하우리는 북한 해킹 조직으로 알려져 있는 김수키(Kimsuky)의 스피어피싱 사례가 빠르게 늘고 있다며 주의를 당부했다. 스피어피싱은 특정 개인 또는 그룹을 대상으로 하는 피싱 공격을 말한다.

하우리는 지난해 1월부터 10월까지 스피어피싱에 사용된 메일서버 16개, 사칭에 이용된 계정 24개를 확인했다고 설명했다. 하우리 측은 "실제 공격에 사용된 서버와 계정은 파악된 수보다 휠씬 더 많을 것"이라고 설명했다.

하우리에 따르면, 피싱메일은 400여명 이상의 국내외 주요 기관에 소속된 인사에게 발송됐다. 정치, 외교, 국방, 북한 전문가 분야 등에 소속된 교수, 기자, 고위공직자를 사칭해 은밀하고 자연스러운 스피어피싱 메일이 지속적으로 발송됐다.

특히, 타깃 대상에게 악성코드를 바로 첨부해서 보내는 것이 아니라 새해맞이, 크리스마스 같은 안부메일이나 회의요청, 미팅요청, 자문요청, 전문가 의견요청 등으로 초기 미끼(Decoy)메일을 발송한 후, 수신인이 관심을 보이는 응답메일을 보내왔을 때 악성코드를 보냈다. 회신이 없는 경우는 더 이상 추가 공격을 하지 않거나 혹은 메일 열람을 유도하는 재촉메일을 발송했다.

하우리 측이 피싱 계정의 발신내역과 수신내역을 확인한 결과, 평균 25% 정도의 응답율이 확인됐다. 응답율은 수신자가 스피어피싱 메일을 받고 의심없이 발신자에게 회신을 메일을 보낸 수치다.

하우리 측은 "메일 수신자가 회신메일을 보냈지만, 실제로 악성코드에 감염됐는지의 여부는 알 수 없다"면서 "다만, 회신메일을 보낸 사용자라면 시스템 감염이 이뤄졌을 가능성이 높다"고 설명했다.

악성코드는 한글파일(.hwp), 문서파일(.doc, .docx), 클라우드 서비스를 이용한 다운로드(구글, MS 등), 윈도 디스크 압축파일(.iso), 악성 스크립트 파일(.vbs), HTML 파일 등 형태로 유포됐다. 특히, 백신 프로그램에 탐지돼 삭제되지 않도록 특정 백신 프로그램의 설치 여부를 확인하고 동작 여부를 결정하는 기능도 있었다. 

하우리 보안대응센터 관계자는 "이번에 확인된 스피어피싱 메일들은 예전의 악성코드 배포방식과는 완전히 다르다"면서 "대상의 정보에 맞게, 회신 내용에 따라 치밀하고 완벽하고, 자연스럽게 응대하다가 악성코드 배포를 시도하기 때문에 정상적인 메일소통과 다르지 않아 더욱더 위험하다"고 말했다.

이어 "올해도 APT 공격 그룹의 스피어피싱 메일은 국내, 해외를 막론하고 지속적이고, 다양한 형태로 발송될 것으로 예상돼 메일 사용에 각별한 주의가 필요하다"고 당부했다.


◎공감언론 뉴시스 [email protected]