이메일 통한 '낚시' 공격, 최근 진화 포인트는 '구인구직'

by이재운 기자
2018.08.14 14:36:22

이력서 등 구직자 서류로 위장한 공격 이어져
랜섬웨어, 원격조작 등 악성코드 배포에 이용
hwp, egg처럼 국내 이용자 노린 공격도 지속

이력서를 사칭한 피싱 메일 화면 예시. 이스트시큐리티 제공
[이데일리 이재운 기자] 사칭으로 열람을 유도해 악성코드를 배포하는 ‘피싱(Phising)’ 공격이 날로 고도화되고 있다. 특히 국내 환경을 노린 한글파일 이용 공격의 최근 트렌드가 ‘구인구직’에 맞춰 인사 담당자들을 겨냥하고 있다.

14일 보안 업계에 따르면 최근 인사 담당자를 대상으로 한 피싱 공격이 계속 성행하고 있어 주의가 요구된다.

이스트시큐리티는 지난 5월 국내 기업 인사 담당자를 대상으로 구직자의 입사 지원서를 위장한 악성 이메일이 급속도로 유포돼, 랜섬웨어 감염 피해가 속출하고 있다고 밝혔다.

공격자는 갠드크랩 v3.0 랜섬웨어를 이메일 첨부파일 형태로 유포했다. 당시 국내 유명 취업전문 사이트의 기업별 채용정보에 기재된 기업 인사 담당자의 이메일 주소로 급속도로 유포됐다.

관련 업계에서는 이런 유형의 공격을 ‘사회공학(Social-engeneering) 기법’이라고 부른다. 당초 지인이나 가족 등을 사칭했으나, 이제는 업무상 관계를 사칭하고 있다.



유사한 공격은 이후에도 지속되고 있는 것으로 파악된다. 지원 서류 파일을 위장했는데, 압축파일 속에 악성코드를 실행하는 스크립트나 원격 조종(C&C) 서버로 연결하는 바로가기를 삽입하는 등의 방식을 이용하고 있다.

특히 ‘hwp’나 ‘egg’처럼 국내에서만 사용하는 파일 형식을 이용하고 있어 국내를 노린 표적 공격일 가능성이 높다는게 관련 전문가들의 분석이다.

이스트시큐리티 시큐리티대응센터(ESRC)의 문종현 이사는 “랜섬웨어 공격은 다양한 형태로 발전되고 있으며, 공격의 효과를 높이기 위해 특정 대상을 공격하는 타겟팅 공격이 증가하고 있다”라며 “만약 기관이나 기업에서 랜섬웨어에 감염될 경우 소중한 문서 자산을 유실하는 등 큰 피해가 발생되기 때문에, 조직에 속한 임직원의 보안 의식 수준 고취와 조직 차원에서의 보안 강화 노력이 절실히 필요하다”고 조언했다.

금융보안원은 ‘한글 문서를 이용하는 악성코드 프로파일링’라는 제목으로 최근 발간한 보고서에서 hwp 파일 형식을 이용한 해킹 시도 공격 그룹으로 △블루노로프(Bluenoroff) △김수키(Kimsuky) △스카크러프트(Scarcruft) 등을 꼽았다. 또 특정인을 대상으로 한 공격법인 ‘스피어피싱’을 비롯한 대표 유형도 소개했다.

보고서에서 금융보안원은 “이메일 발신 주소를 국내 포털 이메일로 사용하는데 이는 포털의 일반 사용자 계정을 탈취하여 악용한 사례”라며 이외에도 워드파일(doc)이나 모바일 애플리케이션(앱)을 통한 공격도 이어지고 있다고 덧붙였다.