HTML 첨부파일을 이용한 피싱 사례

이제 반팔을 입어도 땀이 나는 날씨가 오고 있는 것 같습니다. 얼마 전까지 에어컨 없어도 살만 했는데, 이제는 에어컨 없이는 생활할 수 없을 만큼 더워졌는데요. 이번 여름은 그리 많이 덥질 않기를 바라면서, 오늘 에세이에서는 꽤나 특이한 피싱에 대해 소개드려 보겠습니다. 이전 피싱 메일의 사례에서는 대부분 메일 본문에 악성코드를 다운로드하는 URL이나 피싱 사이트로 연결되거나, 첨부파일에 실행파일형 악성코드 또는 문서형 악성코드가 포함되어 있다고 설명드렸죠. 그런데 이번 사례의 경우는 피싱 사이트와 유사하지만 첨부파일에 HTML로 포함되어 오는 케이스인데.. 백신이나 보안 솔루션으로도 탐지가 어렵지만 저희가 속기는 쉬운 사례에 대해 말씀드려보겠습니다.

​

이 HTML 첨부파일을 이용한 피싱 메일에서는 보통 견적서라는 이름의 제목으로 위장하고 있습니다. 보통 통신사의 요금 명세서나 카드사의 카드 명세서 등이 HTML로 오게 되죠. 이러한 HTML은 워드나 한글 문서와 달리, 사용자의 인증 정보를 확인할 수 있도록 HTML 페이지 내에서 서버와 통신을 할 수 있게 구현이 됩니다. 보통 카드사에서 카드 명세서가 포함된 메일이 오면 해당 HTML을 다운로드 받고, 사용자 확인을 위해 주민등록번호를 입력하도록 하죠. 이때 입력된 주민등록번호는 암호화되어 카드사의 서버로 보내지고, 주민등록번호가 일치한다면 카드 내역을 다시 HTML 페이지에 보여주는 방식으로 되어 있습니다.

​

해커는 이러한 방식에 착안해서 사용자를 별도의 피싱 사이트로 유도하는게 아니라, 자신의 서버와 통신을 하는 HTML을 만들고 위에서 말씀드린 것처럼 견적서 등으로 위장합니다. 그리고 인증을 위해 계정정보나 개인정보를 입력하게끔 하는 방식으로 그럴듯하게 속이고 있죠. 이제는 워낙 사용자들이 메일 본문에 있는 의심스러운 URL을 클릭하면 안된다는 것을 알아서 그런지, 이에 속는 사람의 비율이 저조해짐에 따라 방법을 다르게한 것으로 보이는데요. 사실 URL을 통한 피싱의 경우 통신사나 보안 업체에서 URL을 빠르게 차단시키는 문제도 있고, 사용자들도 이제는 꼼꼼하게 URL을 한 번 더 확인하기 때문에 피싱 사이트라는 것이 금방 들통나기 쉽겠죠.

​

메일의 본문에 피싱 사이트의 URL을 포함하거나 첨부파일에 HTML 문서를 포함해서 보내는 경우, 둘 다 크롬과 같은 웹 브라우저를 통해 실행되는 것은 같습니다. 하지만 HTML의 경우 웹 브라우저의 주소표시줄에 피싱 사이트의 URL이 아닌 HTML 문서가 저장된 파일의 경로가 나타나게 됩니다. 심지어 이런 방식이기 때문에 안전하다고 생각하는 경우도 있는데요. 위에서 말씀드린 것처럼 카드사의 명세서가 서버와 통신을 한다는 점을 생각해보시면.. HTML에서 해커의 서버와도 통신을 할 수 있는 거겠죠. 여기서는 "업무용 이메일 계정 탈취 피싱 메일 사례"에서 설명드렸던 것처럼 <form> 태그를 이용해서 사용자가 개인정보를 입력하고 확인 버튼을 누르는 순간 해커의 서버로 정보가 전송되도록 만들었다고 합니다.

 

요즘 피싱 메일은, URL 대신 ‘HTML 첨부파일’ 이용한다

 

HTML을 이용한 피싱은 웹 브라우저의 캐시에도 저장되지 않기 때문에 보안 사고 조사도 어렵고, 백신과 같은 보안 제품에서도 탐지하기 어렵습니다. 저도 아직까지는 이런 피싱 메일을 받아본 적은 없지만, 보안 업체의 분석 리포트를 확인해보니 이런 케이스가 꽤 많이 보고가 된 것으로 보이기 때문에 조심해야할 것 같은데요. 시간이 갈수록 공격 방법이 너무 다양해져서 뭔가 사용자만 조심해야한다는게 열받지만.. 그래도 공격을 당하고 나면 귀찮아지니 주의해야겠죠. 현재로써는 결국 이전의 피싱 메일 대응 방법과 마찬가지로 이메일에서 보낸 사람이나 서명 등을 잘 확인하시는 방법 밖에는 없을 것 같습니다. 위의 기사에서는 실제 코드 예시도 보여주고 있어서 궁금하신 분들은 확인해보시면 좋을 듯 합니다. 그럼 오늘은 여기까지 설명드리고 이만 줄이도록 하겠습니다. 감사합니다.