피싱 메일 주의보…급여 안내 위장
최근 기업 인사 통지나 이메일 수신 오류로 위장한 악성 피싱 메일 이 다수 유포되며 사용자의 주의가 요구되고 있다.
특히 ‘급여 변동 안내’나 ‘전달 실패된 이메일’이라는 문구로 수신자의 관심을 끌어 계정 정보를 탈취하는 정교한 수법이 활용되고 있어 기업 보안 경각심이 커지고 있다.
안랩은 11일, 실제 메일을 통해 유포된 두 가지 사례를 공개했다.
첫 번째 사례에서는 공격자가 기업 인사부서를 사칭해 2025년 6월부터 적용되는 급여 변동 사항을 확인하라는 제목의 피싱 메일을 발송했다.
이 메일에는 PDF 파일처럼 위장한 .html 형식의 첨부파일이 포함되어 있으며, 이를 클릭하면 사용자가 소속된 기업의 로그인 페이지와 거의 동일한 피싱 사이트로 연결된다.
해당 피싱 페이지는 메일 수신자의 아이디가 자동으로 입력된 상태로 시작되며, 사용자가 비밀번호까지 입력할 경우 정보는 공격자의 명령제어(C2) 서버로 전송된다.
이 방식은 추후 크리덴셜 스터핑이나 추가 계정 침해 시도에 악용될 수 있다.
두 번째 사례는 ‘귀하의 사서함에 전달되지 않은 이메일 5건이 있습니다’라는 제목으로 위장된 피싱 메일이다.
이 메일은 ‘여기에서 확인하세요’라는 문구에 피싱 URL을 삽입해 사용자 클릭을 유도한다.
사용자가 링크를 클릭하면 가짜 로그인 페이지가 열리며, 입력된 정보는 공격자에게 넘어간다.
특히 로그인 후 정상 도메인으로 자동 전환되기 때문에 피해자가 피싱 사실을 인지하지 못할 가능성이 높다.
안랩은 이러한 공격이 특정 기업을 겨냥한 표적 피싱일 가능성이 높다고 분석했다.
공격자는 기업 로고, 포털 구조, 인증 절차까지 복제해 가짜 사이트를 제작하고 있으며, 사전에 이메일 계정을 수집한 후 맞춤형 공격을 진행하는 것으로 보인다.
안랩 시큐리티 인텔리전스 센터(ASEC) 분석팀 이익규 연구원은 “정교한 가짜 로그인 페이지를 사용한 계정 탈취 시도는 꾸준히 발생하고 있다”고 말했다.
이어 “대표적인 피싱 유형을 숙지하고 기본 보안 수칙을 준수하는 것만으로도 피해를 예방할 수 있다”고 강조했다.
피해를 방지하기 위해서는 △수신자가 불분명한 이메일의 링크·파일 실행 금지 △로그인 시 URL 도메인이 정확한지 확인 △OS·브라우저·백신 등 보안 업데이트 유지 △계정별 비밀번호 분리 설정 등의 보안 수칙을 철저히 지켜야 한다.
한편 안랩은 자사 위협 인텔리전스 플랫폼 ‘안랩 TIP’을 통해 이번 사례를 포함한 다양한 피싱 동향, 보안 권고문, 침해지표(IoC) 정보를 제공하고 있다.
백신 V3와 APT 대응 솔루션 MDS를 통해 피싱 URL 실행을 차단할 수 있다고 설명했다.
배동현 (grace8366@sabanamedia.com) 기사제보
관련 기사
