보안업체 안랩은 최근 ‘법 위반 통지’를 사칭한 지능형 피싱 메일이 유포되고 있다며, 개인 및 기업 사용자에게 각별한 주의를 촉구했다. 이번 공격은 정보 탈취형 악성코드(인포스틸러)를 숨긴 이메일로, 사회공학적 기법과 악성코드 위장 기술이 결합된 것이 특징이다.

안랩이 공개한 사례에 따르면, 공격자는 국내 법무법인을 사칭해 "저작권 소유자인 모 기업의 법률 대리인으로서 수신자의 저작권 침해 행위에 대해 통지한다"는 내용을 담은 메일을 발송했다.

 법 위반 통지로 위장한 피싱 메일 본문/이미지=안랩 제공

이메일 본문에는 "경찰로부터 수집된 문서.pdf"라는 문구에 악성 URL이 삽입돼 있으며, 사용자가 이를 클릭하면 실제 문서로 보이도록 위장된 압축파일(.zip)이 다운로드된다. 해당 압축파일에는 실행파일(.exe)과 악성 DLL 파일이 포함돼 있으며, 실행파일은 ‘.pdf’ 확장자를 이름에 포함시켜 사용자가 악성 실행파일이라는 점을 인지하지 못하도록 설계됐다.

사용자가 이 실행파일을 클릭할 경우, 함께 포함된 DLL 파일이 자동 실행돼 인포스틸러가 작동한다. 이 악성코드는 감염된 PC의 계정 정보, 금융 정보, 키보드 입력값, 화면 캡처 등의 민감한 정보를 탈취해 공격자의 서버로 전송한다.

안랩은 피해 예방을 위해 ▲출처가 불분명한 이메일의 첨부파일 및 URL 실행 금지 ▲URL 접속 시 공식 사이트 주소와 비교 ▲운영체제 및 소프트웨어의 최신 보안 패치 적용 ▲백신 프로그램의 실시간 감시 기능 활성화 ▲계정별로 서로 다른 비밀번호 설정 등 기본 보안 수칙 준수를 당부했다.

안랩 분석팀의 이가영 선임연구원은 “최근 사용자의 불안심리를 노린 피싱 메일이 꾸준히 발견되고 있다”며, “이메일 수신 시 발신자 정보와 내용을 반드시 재확인하고, 이상 징후가 있다면 첨부파일이나 링크 클릭을 자제해야 한다”고 강조했다.

한편 안랩은 자사의 위협 인텔리전스 플랫폼 ‘안랩 TIP’을 통해 이번 피싱 사례와 관련한 보안 권고문과 침해 지표(IoC) 등을 제공하고 있다. 

또한, 자사 V3 제품군과 샌드박스 기반 APT 대응 솔루션 ‘안랩 MDS’를 통해 피싱 사이트 연결 URL에 대한 탐지 및 차단 기능도 지원하고 있다고 밝혔다.

[경제엔미디어=장민철 기자]