다양한 이메일 피싱 공격 사례

오늘은 다양한 이메일 피싱 사례에 대해 말씀드려보겠습니다. 이전 글인 '네이버 사칭 피싱 메일 공격 사례'에서 네이버에서 보낸 것처럼 위장하여 개인정보를 유출하는 메일 피싱 공격에 대해 소개드린 적이 있었죠. 이번에는 이러한 메일 피싱 공격의 다양한 유형과 예방 방법을 소개하는 기사가 있어서 이를 바탕으로 이야기를 드려볼까 합니다.

​

일단 피싱에 대해 기본적인 내용을 다시 한번 말씀드리고 넘어가자면.. 메일 피싱 공격의 경우 크게 두 가지 유형이 있다고 설명을 드렸습니다. 첫 번째 유형은 네이버 로그인 페이지와 같은 거의 유사한 피싱 사이트를 만들어 놓고 접속하도록 유도하여 개인정보를 빼가거나, 두 번째 유형은 첨부 파일에 악성 파일 자체를 첨부해서 열도록 유도하는 방식이였죠. 첫 번째 유형의 대응 방법은 출처를 알 수 없는 URL은 클릭하지 말라..였고, 두 번째 유형의 대응 방법도 마찬가지로 모르는 사람이 보낸 첨부파일 열지 말라..였습니다.

​

그런데 말이죠.. 제가 저번 글에서 이런 말씀을 드린적이 있습니다. '페이스북 개인정보 유출 사례'에서 이미 해커가 피해자의 개인정보를 이미 인지하고 있는 상태로 피해자의 친한 친구로 위장해서 이메일을 보낸다면.. 즉, 사회공학적 기법을 이용한다면 그땐 정말 구분하기 어렵다라고 설명드렸죠. 이때는 메일 주소를 확인하거나 그 친구에게 한번 더 확인을 거치는 방법 밖에는 없을 겁니다.

​

사실 한국에서는 메일을 통해서는 위와 같은 극단적인 사례는 잘 발생하고 있지 않습니다만.. 스마트폰을 통해 발생하는 스미싱이나 보이스피싱은 정말 조심해야합니다. 잠깐 다른 이야기를 하자면, 요즘은 문자로 부모님에게 자식인척 하면서 핸드폰이 깨져서 돈이 필요하다.. 갑자기 다쳐서 수술비가 필요해서 이체를 해달라.. 등 다채로운(?) 시나리오로 다양하게 사기를 치고 있죠. 게다가 요즘은 딥페이크 기술이 발달하면서 영상을 보내면서까지 속이는 추세이니.. 기술이 발전하는 것은 좋지만 이에 따라 사기치는 방법도 같이 발전하고 있다는게 참 아이러니 합니다.

​

자 다시 원래 이야기로 돌아와서.. 제가 방금 위에서 친한 친구로 위장해서 이메일을 보내는 극단적인 사례는 발생하고 있지 않다..라고 설명드렸는데요. 그럼 다른 사례들은 충분히 발생한다는 거겠죠.. 일반적으로 한국에서 발생하는 피싱 메일의 경우 해외에서 온 공격이 대부분 입니다. 기업을 대상으로 공공기관을 사칭한다든지, 이력서로 위장한 메일이라든지, 협박성 메일인 혹스(Hoax) 메일 등 굉장히 종류는 다양하지만 이런 대다수 메일들은 특징이 존재합니다. 보통 이런 메일을 들어가서 본문을 보면 뭔가 어색하게 느껴지는 경우가 있는데 대다수가 번역체라는 것이죠. 러시아, 중국 등 해외에서 공격이 많이 들어오다 보니, 영어를 번역해서 쓰기 때문에 존댓말과 반말이 섞여있기도 합니다. 이러한 메일은 곧 바로 삭제하시면 됩니다.

​

여기서 마무리를 지으려하니 조금 짧은거 같아서 다른 사례도 한 가지 더 말씀드리죠. 피싱 메일의 두 번째 유형이었던 첨부파일에 악성코드를 넣어서 보내는 메일의 경우는 보통 exe 파일을 보내게 됩니다. 이를 실행 파일형 악성코드라고 하는데, 다들 아시겠지만 뒤에 '.exe' 확장자가 붙는 파일은 윈도우 운영체제의 실행 파일이죠. 요즘이야 대부분 메일 서버들에서 exe 파일을 필터링해서 docx나 pdf 같은 문서형 악성코드로 보낸다든지, exe 파일을 압축해서 보내든가 하는데.. 기업에서 보안이 취약한 메일 서버를 이용한다면 exe 악성코드를 그대로 받게 될 겁니다.

​

최근에는 사람들이 이미 실행 파일형 악성코드가 위험하다는 것을 알아서인지 대부분 그런 메일이 와도 속지 않는 추세입니다. 하지만 해커들이 이걸 속여보겠다고 실행 파일의 이름이 원래 "a.exe"라면 파일의 이름 뒤에 공백이나 언더스코어를 이용해서 "a.docx____________exe"처럼 바꿔서 마치 워드 파일인척 보냅니다. 심지어 악성코드 개발 과정에 아이콘 이미지도 변경할 수 있으니 더 그럴싸하죠. 물론 이런거에 예민하신 분들은 속지 않으시겠지만 그래도 조심하셔야 합니다.

 

언어·문법·표현방법 등 이메일 통한 피싱 공격의 ‘시그널’을 찾아라

 

인용한 기사에서는 이번 글에서 설명드린 내용 외에도 앞으로 소개해드릴 문서형 악성코드 사례나 피싱 사이트를 구별하는 방법과 같은 좋은 내용들이 많이 있기 때문에, 꼭 한 번씩은 읽어보시길 바랍니다. 그럼 오늘은 여기에서 줄이도록 하죠. 감사합니다.