안랩이 최근 여름 휴가철을 틈타 기업 인사팀을 사칭해 유급휴가 변경이라는 허위 메시지로 기업 이메일 계정 탈취를 시도하는 피싱 메일을 발견해 사용자 주의를 당부했다고 7일 밝혔다.  공격자는 먼저 기업 인사 부서를 사칭해 ‘회사 명절 달력 개정’이라는 제목의 피싱 메일을 유포했다. 본문에는 ‘올해 하반기 유급휴일 명단에 변경이 생겼으니 아래 링크를 클릭해 업데이트된 일정을 확인하라’는 내용으로 악성 링크 클릭을 유도했다. 링크는 ‘2024년 공휴일 달력’이라는 이름으로 삽입됐다. 사용자가 속아 해당 링크를 클릭하면 기업 이메일 계정 정보 입력을 유도하는 로그인 페이지가 나타난다. 사용자가 해당 페이지에서 입력한 비밀번호는 즉시 공격자에게 전송된다. 이번 사례에서 특정 기업의 인사팀을 사칭해 피싱 메일을 발송한 점과 사용자의 이메일 주소가 가짜 로그인 창에 미리 입력된 점을 미뤄 볼 때 공격자는 타깃한 조직의 임직원 이메일을 수집하는 등 사전에 공격을 준비한 것으로 추정된다. 공격자는 탈취한 계정 정보로 기업 관계자를 사칭하는 추가 공격을 수행할 수 있어 사용자의 각별한 주의가 필요하다. 현재 안랩 V3는 해당 메일로 유포 중인 악성 URL에 대한 탐지 및 실행 차단 기능을 지원하고 있으며, 샌드박스 기반 지능형 위협 (APT) 대응 솔루션 '안랩 MDS'에서는 해당 메일을 차단하고 있다. 또한 피싱 메일 공격과 연관된 침해지표(IoC) 등 전문적인 최신 위협 정보를 자사의 차세대 위협 인텔리전스 플랫폼 ‘안랩 TIP’로 제공하고 있다. 피싱 메일로 인한 피해를 예방하기 위해서는 △메일 발신자 확인 및 의심스러운 메일의 첨부파일 및 URL 실행 금지 △사이트 별로 다른 계정 사용 및 비밀번호 주기적 변경 △V3 등 백신 프로그램 최신 버전 유지 및 피싱 사이트 차단 기능 활성화 △사용 중인 프로그램의 최신 버전 유지 및 보안 패치 적용 등 기본 보안 수칙을 실천해야 한다고 안랩은 당부했다. 안랩 분석팀 이익규 연구원은 “이번 사례처럼 매년 휴가철마다 ‘유급 휴가’, ‘공휴일’ 등 사용자가 혹할 만한 키워드를 사용한 피싱 메일이 발견되고 있다“며 “사용자는 익숙한 발신자라도 메일 주소를 꼼꼼하게 확인하고, 조직에서는 적절한 보안 솔루션과 서비스로 임직원을 노리는 피싱 메일 공격을 차단해야 한다”고 강조했다. solidkjy@fnnews.com 구자윤 기자

안랩이 피싱 메일 제목으로 가장 많이 사용된 키워드 등을 담은 ‘2023년 상반기 보안위협 동향’을 17일 발표했다.  안랩은 △안랩시큐리티대응센터(ASEC)이 수집한 악성코드를 자사 악성코드 동적분석 시스템 ‘RAPIT’을 이용해 도출한 ‘악성코드 종류별 통계’ △‘RAPIT’ 및 자체 구축 메일 허니팟‘을 활용한 ‘피싱 메일 키워드 통계’ △안랩 침해대응(CERT) 팀이 탐지·차단한 공격 시도를 분석한 ‘업종별 공격탐지 통계’를 기반으로 상반기 보안위협 동향을 분석했다. 올해 상반기에는 공격자가 추가 공격 수행을 위해 주로 사용하는 악성코드인 ‘다운로더’와 '백도어’가 각각 1, 2위를 기록한 가운데 정보유출형 악성코드인 ‘인포스틸러’가 뒤를 이었다. 안랩 ASEC가 악성코드를 유형별로 분석한 결과 올해 상반기에는 추가 악성코드를 감염PC에 내려받는 ‘다운로더’ 악성코드가 전체의 36.1%를 기록하며 가장 높은 비율을 차지했다. 공격자가 차후 공격을 수행할 목적으로 시스템에 설치하는 '백도어’ 악성코드가 34.9%로 뒤를 이었다. 계정정보, 가상화폐 지갑주소, 문서 파일 등 다양한 사용자 정보를 탈취하는 '인포스틸러' 악성코드는 26.6%를 기록하며 3위를 기록했다. 전체의 70%를 차지한 ‘다운로더’와 ‘백도어’는 공격자가 추가 공격을 진행하기 위해 주로 사용하는 악성코드다. 한 번 감염되면 정보탈취나 랜섬웨어 등 대형 피해를 발생시킬 수 있기 때문에 보안 관리자들은 주기적으로 조직 내 시스템과 자산현황을 점검해야 한다. 많은 공격자들은 공격 ‘시작점’으로 피싱 이메일을 사용한다. 안랩이 올해 상반기동안 피싱 메일의 제목에 사용된 키워드를 카테고리 별로 분류한 결과 ‘주문∙배송’, ‘결제∙구매’, ‘공지∙알림’ 순으로 집계됐다. ‘Shipping(배송)’, ‘Order(주문)’, Delivery(배달)' 등 ‘주문∙배송’과 관련한 키워드는 전체의 29.2%로 가장 높은 비중을 차지했다. 공격자들은 사용자를 더욱 교묘하게 속이기 위해 실제 물류업체 명을 해당 키워드에 붙여서 사용하기도 했다. 14.9%로 2위를 기록한 ‘결제∙구매’ 카테고리의 키워드는 ‘Payment(지불)’, ‘Receipt(영수증)’, ‘invoice(청구서)’ 등이다. 이 카테고리의 키워드는 금전과 연관돼 사용자가 민감하게 반응할 수 있으며, 업무 관련성도 높은 단어이기 때문에 공격자가 자주 사용하는 것으로 추정된다. 긴급한 내용처럼 위장해 사용자의 불안한 심리를 자극하는 ‘Urgent(긴급)’, ‘Alert(경고), ‘Notice(공지)’ 등 ‘공지∙알림’성 키워드는 9.8%를 기록하며 뒤를 이었다. 이 밖에도 공격자들은 주요 키워드 앞머리에 ‘re(회신)’나 ‘fw(fwd)(전달)’ 등을 붙여 사용자들이 이미 기존에 주고받았던 메일인 것처럼 착각하도록 유도하기도 했다. 올해 상반기 업종별 공격탐지 통계에서는 ‘게임개발’, ‘방송’, ‘교육’ 등 콘텐츠 산업에 대한 공격 비중이 높게 나타났다. 다만 업종 간 탐지비율의 편차는 크지 않았다. 안랩 전성학 연구소장은 “상반기 위협 트렌드를 살펴보면 공격자들이 ‘공격의 효율성’을 높이기 위해 다양한 공격 수법을 사용하고 있는 것을 알 수 있다”며 “고도화되는 위협에 대응하기 위해서 개인은 기본 보안수칙을 생활 속에서 실천해야 하고, 조직 차원에서는 솔루션부터 위협정보 확보, 구성원 교육까지 통합적 관점에서 보안 체계를 강화해 나가야 한다”고 말했다. solidkjy@fnnews.com 구자윤 기자

최근 기업들이 고객 소통 창구로 소셜미디어를 활발하게 활용하고 있는 가운데 기업 페이스북 계정정보를 노린 피싱 메일이 발견됐다.  안랩이 최근 페이스북을 운영하는 '메타'를 사칭해 기업 페이스북 계정 탈취를 시도하는 피싱 메일을 확인하고 기업 소셜미디어 운영자의 주의가 필요하다고 17일 밝혔다. 공격자는 메일 발신자 이름을 ‘Meta Policy(메타 정책팀)’로 위장해 ‘중요 공지: 지적 재산권 위반으로 인해 비즈니스 계정이 제한됐습니다(Important Notice: Your Business Account Has Been Restricted Due To Violations Of Intellectual Property)’라는 제목으로 피싱 메일을 유포했다. 그러나 메일 주소를 자세히 살펴보면 메타의 공식 메일이 아닌 사설 이메일 주소임을 알 수 있다. 메일 본문에는 ‘메타’의 공식 로고와 함께 ‘사용자의 비즈니스 계정 일부 페이지에서 지적재산권 침해 가능성을 감지해 해당 계정을 차단했다’며 ‘(계정 차단이) 오류라고 생각한다면 아래 버튼(REQUEST REVIEW)을 눌러 이의를 제기하라’는 내용을 적어 피싱 웹사이트로 연결되는 URL이 포함된 버튼의 클릭을 유도했다. 특히 ‘비즈니스 계정이 영구 정지되거나 삭제되는 것을 방지하려면 24시간 이내에 대응하라’, ‘문의사항은 주저하지 말고 지원팀에 문의하라’는 등 사용자를 불안하게 해 악성 URL 클릭을 재촉하는 내용도 덧붙였다. 사용자가 속아 메일 하단의 ‘REQUEST REVIEW(재검토 요청)’ 버튼을 클릭하면 페이스북 계정명과 계정 관리자의 이름, 이메일 등 정보 입력을 유도하는 것으로 추정되는 피싱 사이트로 연결된다. 공격자가 해당 계정정보를 탈취하면 피해 기업 명의의 페이스북에서 랜섬웨어 등 악성코드를 유포하거나 기업 관계자를 사칭해 추가 공격을 감행할 수 있어 사용자의 각별한 주의가 필요하다. 현재 V3는 해당 메일로 유포 중인 악성 URL을 진단 및 실행 차단하고 있다. 피해 예방을 위해서는 △보낸사람 확인 및 의심스러운 메일의 첨부파일 및 URL 실행 금지 △사이트 별로 다른 계정 사용 및 비밀번호 주기적 변경 △V3 등 백신 프로그램 최신버전 유지 및 피싱 사이트 차단 기능 활성화 △사용 중인 프로그램(OS/인터넷 브라우저/오피스 SW 등)의 최신버전 유지 및 보안 패치 적용 등 기본 보안수칙을 실천해야 한다. 안랩 분석팀 송태현 주임은 “기업의 소셜미디어 계정이 공격자의 손에 넘어가면 이를 이용해 손쉽게 악성코드나 가짜뉴스를 유포하는 등 피해가 커질 수 있다”며 “페이스북 외에 다른 소셜미디어를 사칭한 공격시도도 있을 수 있는 만큼 기업 소셜미디어 담당자는 의심스러운 메일 내 첨부파일이나 URL은 실행하지 않는 등 기본 보안수칙을 지켜야 한다”고 당부했다. solidkjy@fnnews.com 구자윤 기자

잠잠한 듯했던 북한의 해킹 행각이 또 드러났다. 기자와 국회의원을 사칭해 외교·안보 전문가들에게 '피싱 메일'을 대량으로 유포한 사실이 경찰에 꼬리가 잡힌 것이다. 메일을 받은 사람은 892명이고, 교수와 민간 연구원 등 49명이 피해를 봤다고 한다. 해커들은 첨부문서와 주소록을 빼간 것 외에도 랜섬웨어를 살포해 255만원 상당의 비트코인도 받아 간 것으로 조사됐다. 우리는 2016년 국가 중요기밀이 북한 해커의 손아귀에 들어간 사건을 기억하고 있다. A4용지 1500만장 분량의 군 정보를 훔쳐갔는데 김정은 참수 작전 계획과 '작계(作計) 5015' 등 기밀자료까지 들어 있어 경악을 금치 못했었다. 암호화폐거래소를 공격해 최소 6500만달러를 털었고, 현금자동입출금기(ATM) 암호망을 뚫고 1억여원을 빼돌리기도 했다. 이뿐만이 아니다. 2014년에는 한국수력원자력을 해킹해 원전 도면을 탈취했고, 지난해에는 원전 기술을 보유한 한국원자력연구원을 해킹했다. 경찰은 이번 해킹이 한수원을 해킹했으며 북한 정찰총국의 조종을 받는 '김수키'(kimsuky)의 소행으로 보고 있다. 국가기밀이 해커의 손에 통째로 넘어가는 일이 반복되는데도 방어망은 느슨하기 짝이 없다. 기관들은 문책이 두려워 해킹을 당한 사실을 감추기에 급급하다. 한술 더 떠 문재인 정부에서는 북한 눈치를 보느라 해킹 실상 파악조차 꺼렸으니 그런 태도로 어떻게 북한과 맞서려 했는지 이해하기 어렵다. 총칼을 들고 싸우는 것만이 전쟁이 아니다. 현대전에서 사이버전의 중요성은 점점 더 커지고 있다. 우리로서는 공격보다 방어에 더 우선순위를 두어야 한다. 안보 기밀을 털린 상태에서 치르는 전쟁은 이미 반쯤 지고 들어가는 것이다. 북한의 해킹능력은 갈수록 진화하고 정교해지고 있다. 사이버 전쟁은 핵 공격만큼이나 심각하고 비중이 큰데 우리의 방어력과 경각심은 한참 모자란다. 핵·미사일 개발에 혈안이 되고 있는 북한이 그 자금의 30%를 가상화폐 해킹으로 확보한다고 미국 정보당국이 분석한 적이 있다. 사실이라면 현재의 사이버 방어 체제로는 우리가 북한에 개발비를 대주는 꼴밖에 안 된다. 최근 국가정보원이 입법 예고한 국가사이버안보기본법을 속히 제정하는 등 북의 해킹에 대한 대책을 서둘러 마련해야 한다.

안랩은 최근 정교한 수법의 피싱 메일로 악성코드 유포를 시도하는 사례가 발견되고 있다며 주의를 당부했다. 3일 안랩에 따르면 지난달 발견된 악성 메일에서 공격자는 특정 기관을 사칭해 자문요청으로 위장한 메일을 전송했다. 해당 메일에는 '전문가의 의견을 수렴해 보고서를 작성하고 있다. 일정상 불가하시더라도 꼭 회신해달라'는 내용을 포함해 사용자의 답변을 유도했다. 사용자가 자문요청에 긍정적인 답변을 보낼 경우, '자문요청서.docx'라는 제목의 악성 문서파일을 다운로드하는 URL을 메일로 회신했다. 사용자가 무심코 해당 문서파일을 내려받아 실행하면 문서 상단에 '콘텐츠 사용' 버튼을 클릭하라는 내용이 나오고, 해당 버튼을 누르면 악성코드가 실행된다. 감염 후 해당 악성코드는 특정 URL에 접속을 시도하는데, 이후 악성코드를 추가로 설치해 정보유출 등 악성행위를 시도할 수 있다. 정교하게 제작된 피싱 페이지 연결로 사용자의 계정정보를 노린 피싱 메일도 발견됐다. 공격자는 먼저 특정 제조회사를 사칭한 메일을 보내고, 본문에 제품 제작 관련 요청 내용과 함께 '첨부파일을 확인하라'는 문구로 첨부파일 실행을 유도했다. 사용자가 무심코 '구매 주문.html'이라는 제목의 첨부파일을 실행하면 유명 포털 사이트의 실제 로그인 페이지와 유사하게 제작된 가짜 로그인 사이트로 연결된다.안랩은 피싱 메일로 인한 피해를 예방하기 위해서는 △이메일 발신자 등 출처 확인 △의심스러운 메일 내 첨부파일 및 URL 실행 금지 △사이트 별로 다른 계정 사용 및 비밀번호 주기적 변경 △V3 등 백신 프로그램 최신버전 유지 및 피싱 사이트 차단 기능 활성화 △사용중인 프로그램(OS·인터넷 브라우저·오피스 SW 등)의 최신버전 유지 및 보안 패치 적용 등 기본 보안수칙을 준수해야 한다고 강조했다. monarch@fnnews.com 김만기 기자

[파이낸셜뉴스]  이스트시큐리가 네이버 고객센터가 보낸 것처럼 위장한 이메일 피싱 공격 징후를 포착했다고 11일 밝혔다. 이스트시큐리티 시큐리티대응센터(ESRC)는 이번 공격 배후로 특정 정부가 연계된 것으로 알려진 해킹 조직인 ‘탈륨(Thallium)’을 지목했다. 탈륨은 지난해 미국 마이크로소프트(MS)사로부터 고소를 당하며 국제 사회 주목을 받은 조직으로, 지난 2014년 한국수력원자력 해킹 공격 배후로 유명한 ‘김수키(Kimsuky)’조직과도 관련성이 높은 것으로 알려졌다. 이 조직은 지난 8월부터 현재까지 1개월 동안 국내에서 ‘국내 유명 포털 계정 오류’, ‘국내 대기업 클라우드 서비스 고객센터’, ‘개성공단 관련 연구 내용 문서’, ‘아태지역 학술 논문 투고 규정’ 등을 사칭한 다양한 피싱 공격을 했다. 주요 공격 대상은 북한 분야를 취재하거나 연구하는 언론 기자, 공무원, 탈북 단체장과 같은 대북 분야 종사자 등이다. ESRC가 포착한 이번 공격은 국내 유명 포털 보안 서비스 중 하나인 ‘새로운 기기 로그인 알림 기능’이 해제됐다는 이메일 공지를 사칭하고 있다. 메일 내용에는 새로운 기기 로그인 알림 기능이 해제돼 다시 설정이 필요하다는 안내와 함께 ‘새로운 기기 로그인 알림 설정 바로 가기’ 버튼을 클릭하도록 유도하고 있다. 이 버튼을 클릭하면 안전한 사용을 위해 사용자 계정의 비밀번호를 다시 한번 입력하도록 요구하는 창이 나타나며 이때 사용자가 스스로 계정 정보를 입력하게 되면 그 정보는 고스란히 해커에게 넘어가는 전형적인 피싱 공격이다. 이번 공격에 사용된 메일 화면은 실제 포털 회사에서 사용하는 고객센터 공지 이메일과 디자인이 동일해 메일 수신자가 해킹 이메일로 판단하기에 어려움이 있을 것으로 예상된다. 특히 최근에는 ‘휴면 알림 메일 공지’, ‘이메일 계정에 오래된 쿠키 정보가 있다’ 등 다양한 수법이 번갈아 사용하며 지속적으로 디자인과 내용을 업데이트하고 있어 각별한 주의가 필요하다. 문종현 이스트시큐리티 ESRC센터장 이사는 “특정 정부가 연계된 탈륨 조직은 국내 포털 회사 고객센터로 정교하게 위장한 이메일 피싱 공격을 매우 오래전부터 꾸준히 활용하고 있다”면서 “최근에는 평일뿐만 아니라 공휴일이나 야간 시간에도 공격 이메일을 발송하고 있어 각별한 주의가 요구된다”고 당부했다. 그러면서 "유사한 위협의 피해를 예방하고 노출을 최소화하기 위해서는 발신자 이메일을 유심히 살펴보면서 로그인을 유도하는 웹 사이트의 인터넷 URL 주소가 공식 사이트가 맞는지 반드시 살펴봐야 한다”고 강조했다. . gogosing@fnnews.com 박소현 기자

지란지교시큐리티는 올해 1분기 스팸메일 동향 분석 리포트를 통해 피싱 유형의 이메일이 전분기 대비 36%의 큰 상승폭을 기록하며 2억3000만건 유입됐다고 29일 밝혔다. 보고서에 따르면 2020년 1분기 전체 메일 총 20억2705만6907건 중 스팸메일은 10억9510만4979건으로 전분기 대비 6.4% 증가했으며, 특정 타겟을 노린 피싱메일은 전분기 대비 36% 증가한 2억3176만605건을 기록했다. 이 같은 결과에 대해 지란지교시큐리티는 코로나19 사태를 악용해 ‘코로나 바이러스’를 키워드로 내세운 피싱 메일이 급증한 것으로 분석했다. 실제로 코로나19 이슈 관련 질병관리본부를 비롯한 국내외 기관을 사칭해 ‘UPDATE COVID-19’ ‘긴급 상황: 도시에서 코로나 바이러스 발생’ 등 악성 첨부파일 실행을 유도하는 악성 메일이 발견됐으며 관련 메일 유입량이 꾸준히 증가되고 있다. 특히 바이러스 감염증 확산을 방지하기 위해 재택근무를 시행하는 기관 및 기업들이 늘면서 상대적으로 보안이 취약한 환경에서 이메일을 열람할 가능성이 높아져 사용자들의 보다 각별한 주의가 필요하다. 지란지교시큐리티는 급증하는 악성 메일 공격에 대응하기 위해 사용자와 관리자의 지속적인 의식 개선이 필요하다고 강조했다. 사용자는 출처가 명확하지 않은 메일을 열람하지 말고 즉시 보안 관리자에게 신고해야 하며, 관리자는 사용자들이 이러한 메일을 열어보지 않도록 지속적인 보안 교육이 필요하다. 평소 같은 보안 교육이 어려운 재택근무 기간 동안에는 관리자가 이메일을 이용한 훈련을 수행하는 것도 좋은 방법이다. 실제와 유사한 피싱 메일을 임의로 발송해 이를 수신한 사용자가 메일을 열람하지 않고 즉시 신고하도록 하며 반복적인 훈련으로 사용자의 피싱 메일 대처 능력을 키울 수 있다. 서양환 지란지교시큐리티 이메일보안사업부 사업부장은 “코로나19 사태와 같은 사회적인 이슈를 악용한 이메일 공격이 지속될 것이며 재택근무와 같이 보안이 취약한 비대면 환경을 노린 공격이 증가할 것”이라며 “기업 및 기관은 반복적인 보안 훈련을 통해 보안 의식을 향상시키고 사이버 공격으로 인한 피해를 입지 않도록 사전에 대비해야 한다”고 말했다. solidkjy@fnnews.com 구자윤 기자

[파이낸셜뉴스] 민갑룡 경찰청장을 사칭한 피싱메일이 기자들에 발송돼 경찰이 내사에 착수했다. 7일 경찰 등에 따르면 이날 오후 경찰 출입 일부 기자들에 '경찰청 초대'라는 제목의 이메일이 발송됐다. 해당 이메일은 '존경, 우리는 이 편지가 받아들여지기를 진심으로 바랍니다. 진행 중인 조사에 대해서는 경찰청에 신고하십시오. 첨부된 서류를 검토한 후 필요한 경우 변호사에게 문의하십시오'라는 내용이다. 해당 메일 끝에는 민 청장의 이름을 영문으로 표기한 'Min Gap-Ryong'과 경찰청 주소가 적혀 있다. 메일 발신인의 이메일 주소는 영어로 '초대'와 '사기'를 뜻하는 'invitations.fraud@police.go.kr'이다. 또 메일과 함께 첨부된 '문서.iso'이름의 파일은 악성 프로그램일 것으로 추정된다. 이를 두고 경찰 관계자는 "경찰청은 이와 같은 메일을 발송한 적이 없으며 경찰청을 사칭한 메일로 보인다"며 "피싱 메일로 의심돼 사이버테러수사대에서 내사에 착수했다"고 밝혔다.   gloriakim@fnnews.com 김문희 기자

[파이낸셜뉴스] IBM이 신종 코로나바이러스 감염증(코로나19) 관련 정보로 위장한 뒤, 악성코드를 유포하는 e메일에 대해 각별한 주의를 당부했다. 특히 ‘이모텟(Emotet)’이란 악성코드는 첨부파일만 클릭해도 금융정보를 탈취하므로 e메일 보안 도구 등을 활용해 사전에 피해를 막아야 한다는 조언이다. IBM은 자체 'X-포스(Force)' 분석 결과를 인용해 “코로나19 관련 악성e메일은 중국 상황 언급 등 제목과 파일명은 비슷하지만 다양한 형태의 악성코드로 유포되고 있다”며 “특히 이모텟은 첨부파일만 눌러도 컴퓨터를 감염시키고 중요한 기록을 빼가기 때문에 기업과 개인의 주의가 필요하다”고 27일 밝혔다. 게다가 최근 이모텟은 여러 차례 업그레이드와 변형을 거쳐 첨부파일 뿐 아니라 e메일 분문에 기재된 링크 주소나 이미지를 눌러도 활성화되는 것으로 조사됐다. 또 코로나19 관련 악성 e메일은 미국 질병통제예방센터(CDC)나 바이러스 학자 등을 사칭하는 형태로 유포되고 있는 것으로 나타났다. IBM은 “결국 개인과 회사 직원들이 피싱 e메일을 구분하고 적극 대처할 수 있어야 한다”며 “관련 예방교육은 물론 중요 데이터 네트워크에 접속할 수 있는 인원은 최소화하고 감염된 웹 사이트는 사용자 블랙리스트 등을 만들어 지속적으로 정보를 업데이트할 필요가 있다”고 조언했다. elikim@fnnews.com 김미희 기자

코로나19 사태가 확산되는 가운데 질병관리본부(KCDC)를 사칭한 피싱 이메일이 등장해 주의가 필요한 것으로 나타났다. 25일 보안업체 지란지교시큐리티에 따르면 질병관리본부 공지처럼 보이는 메일에는 코로나 관련 감염 현황 도시를 확인할 수 있는 URL을 본문에 포함한 듯이 위창하고 있다. 본문에 특정 URL을 넣은 것으로 보이지만 실제로는 메일 본문 전체가 이미지 파일이고 클릭하면 사용자는 다른 단축 URL로 접속하게 된다. 단축 URL을 클릭하면 이메일과 패스워드 입력을 유도하는 질병관리본부 사칭 페이지로 이어진다. 접속 목적지 IP주소는 145.14.145.38다. 입력된 이메일과 패스워드는 암호화돼 해커가 통제하는 외부 서버로 전달된다. 지란지교시큐리티 관계자는 "스팸 차단 솔루션을 이용하는 경우 차단 정책 추가 설정하고 방화벽에서 목적지(DST) IP 기준 145.14.145.38로도 접속되지 않도록 해야 한다"며 "해당 메일 외에도 유사 이메일을 주의 하라는 기업 내 보안공지를 할 필요가 있다"고 주문했다. solidkjy@fnnews.com 구자윤 기자