안랩은 최근 임직원 성과 보고서로 위장한 악성코드를 유포하는 피싱 메일이 발견됐다며 사용자들의 각별한 주의를 당부했다.

안랩이 공개한 사례에 따르면, 공격자는 기업 인사팀을 사칭해 ‘직원 성과 보고서’라는 제목의 피싱 메일을 발송했다. 해당 메일은 연말연시 인사 평가와 관련한 안내 메일이 빈번하게 오가는 시기를 노린 것으로, 임직원의 경계심이 상대적으로 낮아진 점을 악용한 것이 특징이다.

 임직원 성과 보고서로 위장한 피싱 메일/이미지=안랩 제공

공격자는 메일 본문에 파일을 첨부하고, “빨간색으로 표시된 이름은 모두 해고 예정 직원”이라는 문구를 삽입해 수신자가 첨부파일을 열어보도록 유도했다. 첨부파일의 명칭은 ‘직원 기록 pdf(staff record pdf)’로, 실제 파일 확장자인 ‘.rar’를 숨겨 일반적인 PDF 문서로 오인하게 했다.

사용자가 해당 첨부파일을 실행하면 압축 파일이 다운로드되며, 내부에는 실행 파일(.exe)이 포함돼 있다. 이 실행 파일을 실행할 경우 PC 화면 및 키 입력 수집, 웹캠과 마이크 접근, 웹 브라우저에 저장된 정보 탈취 등 다양한 악성 행위를 수행하는 원격 제어 악성코드가 동작한다.

안랩은 이러한 피싱 메일 피해를 예방하기 위해 △발신자 이메일 주소와 도메인의 유효성 확인 △출처가 불분명한 메일의 첨부파일 및 URL 실행 금지 △PC와 운영체제(OS), 소프트웨어(SW), 인터넷 브라우저에 대한 최신 보안 패치 적용 △백신의 실시간 감시 기능 활성화 등 기본적인 보안 수칙 준수를 강조했다.

이번 사례를 분석한 안랩 분석팀 임문주 매니저는 “연말연시에는 인사 평가, 조직 개편, 연봉 협상, 성과급, 연차 등 시기적 관심도가 높은 이슈를 악용한 피싱 공격이 증가할 수 있다”며, “메일의 발신자와 내용을 주의 깊게 확인하고, 피싱이 의심되는 사례는 주변 구성원과 공유해 피해를 사전에 예방하는 것이 중요하다”고 말했다.

한편 안랩은 차세대 위협 인텔리전스 플랫폼 ‘안랩 TIP(Threat Intelligence Platform)’을 통해 이번 사례를 포함한 다양한 피싱 공격 동향과 보안 권고문, 침해 지표(IoC) 정보를 제공하고 있다. 

또한, V3 제품군과 샌드박스 기반 지능형 위협(APT) 대응 솔루션 ‘안랩 MDS’는 해당 메일을 통해 유포되는 악성 파일에 대한 탐지 기능을 지원한다.

[경제엔미디어=장민철 기자]