"끊이지 않는 계정 탈취"…피싱 메일 주의보

기사등록 2022/08/11 15:42:32 최종수정 2022/08/11 18:36:41

MS 아웃룩·365 패키지 계정 노린 피싱 메일 활발

전세계 MS 사용자 노린 공격 수법 갈수록 진화

전문가 "의심스런 파일은 삭제 등의 주의 필요"

인보이스로 위장한 메일을 통해 마이크로소프트(MS)의 아웃룩 계정을 탈취하는 사례가 발견됐다. 사진은 해당 피싱 메일을 캡처한 이미지. (사진=잉카인터넷 제공) *재판매 및 DB 금지

[서울=뉴시스]송종호 기자 = 정보보안기업 잉카인터넷은 인보이스로 위장한 메일을 통해 마이크로소프트(MS)의 아웃룩 계정을 탈취하는 사례가 발견됐다고 11일 밝혔다.

MS의 아웃룩은 전자우편 기능을 기본으로 달력, 일정, 연락처 등을 관리할 수 있는 MS의 업무용 소프트웨어다.

잉카인터넷에 따르면 해당 피싱 메일은 ‘Invoice(인보이스)’라는 제목으로 유포되고 있다. 특히 메일 본문에는 ‘Safe Sender(안전한 발신자)’라는 문구를 기재해 사용자의 의심을 피해, 첨부파일 실행을 유도하고 있다.

이때 사용자가 첨부된 파일을 실행할 경우 MS를 사칭한 피싱 사이트로 연결되고, 아웃룩 계정의 비밀번호를 입력하도록 유도한다. 잉카인터넷 관계자는 “이메일 주소 기재란에 메일 수신인의 이메일 주소가 미리 입력돼 있다”라며 “무심코 비밀번호를 입력하지 않도록 해야한다”고 주의를 당부했다.

만약 사용자가 비밀번호를 입력하고 로그인을 뜻하는 ‘Sign in’ 버튼을 클릭할 경우 입력한 비밀번호와 사용자의 인터넷 주소(IP)를 공격자에게 전송한다.

최은정 잉카인터넷 시큐리티대응센터 매니저는 “이번 피싱 메일은 인보이스로 위장한 html 파일을 통해 아웃룩 계정 탈취를 유도하고 있다”며 “사용자들은 출처가 불분명한 메일의 첨부 파일을 내려받지 않도록 주의하고, 비밀번호를 주기적으로 변경해야 한다”고 조언했다.

MS의 소프트웨어나 서비스 계정을 노리는 사이버 공격은 계속되고 있다. 올 초에는 부재중 전화 알림으로 위장한 피싱 메일이 발견됐다. 이 메일 역시 MS의 업무용 소프트웨어를 모아둔 MS 365 계정을 탈취하는 것으로 드러났다.

해당 피싱 메일을 발견한 안랩에 따르면 ‘이 메일은 ○○○에서 발송됐습니다’라는 제목으로 불특정 다수에게 접근했다. 메일 본문에는 ▲음성메시지 ▲playback_38628.html 등의 파일이 첨부돼 사용자를 교묘히 속였다. 플레이백은 다시 듣기를 의미한다. 이 역시 사용자가 첨부파일을 실행하면 MS 365 홈페이지로 위장한 피싱사이트로 접속된다. 이 사이트 접속해 공격자가 유도하는 개인정보를 입력하면 해당 정보는 그대로 공격자에게 전달된다.

안랩 관계자는 “피싱 사이트에는 이미 이메일 주소가 입력된 것처럼 꾸며져 있어 사용자가 의심 없이 비밀번호를 입력할 수 있다”라며 “계정과 연결된 정보까지 탈취당할 수 있어 주의가 필요하다”고 강조했다.

최근 정보보안 회사 베이드에 따르면 올 상반기 피싱 공격에서 가장 많이 사칭된 브랜드는 MS로 나타났다. 조사 결과 총 1만 1041개의 피싱 인터넷 주소(URL)이 MS를 사칭한 것으로 집계됐다.

피싱 공격에서 MS가 선호되는 이유는 무엇일까. 정보보안업계 관계자는 “MS 365만 해도 2억명이 넘는 사용자를 보유하고 있다”라며 “불특정 다수에서 피싱 메일을 보낸다고 할 때 MS 서비스를 이용자가 걸려들 확률이 가장 높기 때문”이라고 말했다. 이어 “가장 대중화된 서비스인만큼 안전 수칙도 많이 나왔지만 역으로 공격수법도 갈수록 진화한다. 사용자 스스로가 의심스런 파일은 삭제하는 등의 노력이 필요하다”고 덧붙였다.


◎공감언론 뉴시스 song@newsis.com