업무용 이메일 계정 탈취 피싱 메일 사례

최근들어 피싱 메일 공격이 굉장히 많아지고 있는데요. 원래는 보안 뉴스나 데일리시큐 같은 보안 매체들에서만 피싱 메일을 다루고 있었는데, 최근에는 네이버 기사에서도 심심치 않게 볼 수 있으니 그만큼 엄청나게 많은 공격이 이뤄지고 있다고 봐야할 듯 싶습니다. 오늘은 로그인 페이지로 위장하여 HTML의 <form> 태그를 사용해 기업의 이메일 계정을 유출하는 사례에 대해 말씀드리고자 합니다.

​

이번 피싱 사례의 메일에서는 외부 메일 서버에서 수신한 이메일을 가져오는 IMAP 또는 POP 설정에 오류가 생겨, 복구를 위해서 계정의 아이디와 패스워드를 입력하라는 페이지의 링크를 포함하고 있는데요. 일단 먼저 메일 프로토콜과 관련된 IMAP과 POP3가 무엇인지에 대해 간단히 설명하고 가도록 하겠습니다. 예전 글에서 네이버나 구글은 자체적인 메일 서버를 가지고 있다고 설명을 드렸죠. 이러한 웹 메일 서버에서 제공하는 메일 서비스를 사용하기 위해서, 우리는 웹 브라우저를 통해 해당 사이트에 로그인 한 뒤 메일함을 들어가서 사용하고 있구요.

​

그런데 여기서 웹에서 메일 서버를 통해 메일 서비스를 사용하는 방식이 아니라, PC에 메일을 받아오고 읽을 수 있는 프로그램을 설치해서 로컬에서 사용할 수도 있습니다. 이를 메일 클라이언트라고 하는데, 대표적으로 PC에서 오피스를 설치하면 딸려오는 아웃룩이 있는데요. 메일 클라이언트가 메일 서버를 사용하는 일반적인 웹 메일과 가장 큰 차이점은 메일의 데이터가 사용자의 PC에 저장된다는 것 입니다. 즉, 인터넷이 연결되어있지 않아도 기존에 받은 메일을 읽을 수 있다는거죠.

​

그럼 IMAP(Internet Message Access Protocol, 인터넷 메시지 접속 프로토콜)과 POP(Post Office Protocol, 전자 우편 프로토콜)은 무엇인가 하면.. 네이버 웹 메일 같은 메일 서버에서 아웃룩과 같은 메일 클라이언트로 데이터를 가져오기 위한 일종의 프로토콜로 생각하시면 됩니다. 메일 서버와 메일 클라이언트 사이에서 데이터는 어떻게 전송하고, 오류가 발생하면 어떻게 처리할지 등을 정한 일종의 약속인거죠. 여기서 자세한 내용을 설명드리긴 어려우니 IMAP은 웹에서 접속해서 사용하는 것처럼 메일을 실시간으로 동기화하고, POP은 메일의 복사본을 저장하여 사용한다.. 정도로 정리해두시면 충분할 것 같습니다.

​

그럼 여기까지 이 에세이의 주된 내용은 아니지만, IMAP과 POP의 배경지식에 대해서 부가적으로 설명드려봤고요. 이제 피싱 메일에 포함된 피싱 사이트를 접속했을 때 나타나는 특징에 대해서 말씀드리도록 하겠습니다. 이 피싱 사이트에서는 HTML의 <form> 태그를 이용하는데요. 우리가 네이버와 같은 사이트에 접속해서 회원가입을 할 때아이디 중복을 체크하기 위한 확인 버튼이나, 아이디와 비밀번호를 입력한 후에 접속을 위한 로그인 버튼이 보통 이 태그로 구현되어 있습니다.

​

이 <form> 태그에 'action'이라는 속성을 부여해서, 사용자가 버튼을 눌렀을 때 입력된 정보를 어디로 넘길 것인지 URL 주소를 입력할 수 있는데요. 보통 해커가 이런 피싱 사이트를 만들 때, 사용자가 입력한 이메일 계정을 수집하기 위해 여기에다 해커의 서버 IP나 URL을 적겠죠. 사실 대부분의 피싱 사이트가 이러한 형식으로 작성이 될 겁니다. 그래서 통신사나 보안 업체에서 피싱 사이트를 분석하여, 이러한 URL을 블랙리스트로 걸어 놓아서 사용자가 들어가지 못하도록 차단하기도 합니다.

 

업무용 이메일 계정 탈취용 피싱 메일 주의

 

보통 이런 피싱 사이트로 부터 유출된 계정은 추후에 다시 피싱 공격에 재사용 됩니다. 해커가 직접 메일에 접속해서 주고 받은 이메일을 확인하고, 해당 메일로 다른 사용자에게 또 피싱 공격을 하는.. 이런식으로 연쇄적인 공격이 가능 하겠죠. 이에 대한 대응 방법은 항상 말씀드리는 2차 인증 입니다. 여러 번을 강조해도 부족한데요. 2차 인증 설정과 함께 이런 피싱 사이트에 낚이지 않도록 조심하는 습관을 항상 가지시기 바랍니다. 그럼 오늘은 설명드릴 내용은 여기까지고, 이만 마치도록 하죠. 감사합니다.