보안 기업 안랩이 최근 사용자들을 속이기 위해 ‘급여 변동’, ‘이메일 수신 실패’ 등의 내용으로 위장한 피싱 메일 사례를 발견하고 주의를 당부했다.

안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면, 공격자는 사용자로 하여금 가짜 로그인 페이지에 계정 정보를 입력하도록 유도해 정보를 탈취하는 수법을 사용하고 있다. 특히, 정상 웹사이트와 구별이 어려운 정교한 피싱 페이지를 제작하고, 메일 본문에 첨부파일이나 URL을 자연스럽게 삽입하는 방식으로 사용자의 의심을 피하고 있다.

 급여 변동 안내로 위장한 피싱 메일/이미지=안랩 제공

첫 번째 사례에서는 공격자가 기업 인사 부서를 사칭해 ‘2025년 6월부터 적용되는 급여 변동 사항’을 확인하라는 제목의 피싱 메일을 발송했다. 메일에는 “PDF 파일 또는 온라인 포털을 통해 확인 가능”하다는 문구와 함께 .html 형식의 파일이 첨부돼 있었으며, 클릭 시 기업의 공식 홈페이지를 모방한 가짜 로그인 페이지로 연결된다. 

해당 페이지에는 사용자의 아이디가 자동으로 입력되며, 이는 사전에 표적을 특정한 정교한 공격이었을 가능성을 시사한다. 사용자가 이 페이지에 비밀번호를 입력할 경우, 해당 정보는 공격자의 C2 서버로 전송되며, 이후 크리덴셜 스터핑 등 2차 공격에 악용될 수 있다.

두 번째 사례에서는 “귀하의 사서함에 배달되지 않은 이메일 메시지 5건이 있다”는 내용의 메일이 유포됐다. 해당 메일에는 “전달되지 않은 메시지를 여기에서 확인하세요”라는 문구에 피싱 URL이 삽입돼 있으며, 사용자가 클릭 시 가짜 로그인 페이지로 연결된다. 로그인 정보를 입력한 사용자는 이후 정상 이메일 도메인으로 자동 리다이렉트되어 피싱 피해 사실을 인지하기 어렵다.

안랩은 이러한 피싱 공격으로부터 피해를 예방하기 위해 ▲출처가 불분명한 메일의 첨부파일 및 URL 실행 자제 ▲URL 클릭 시 공식 도메인 주소 확인 ▲운영체제 및 소프트웨어의 최신 보안 패치 적용 ▲백신 실시간 감시 기능 활성화 ▲서비스별로 서로 다른 비밀번호 설정 등 기본적인 보안 수칙을 철저히 준수할 것을 당부했다.

이익규 안랩 ASEC 분석팀 연구원은 “최근 피싱 공격은 실제 로그인 페이지와 구별하기 어려운 수준으로 정교해지고 있다”며, “대표적인 피싱 유형을 숙지하고, 보안 수칙만 잘 지켜도 대부분의 피해를 막을 수 있다”고 강조했다.

한편 안랩은 차세대 위협 인텔리전스 플랫폼 ‘안랩 TIP’을 통해 이번 사례를 포함한 다양한 피싱 공격 유형과 침해 지표(IoC), 보안 권고문 등을 제공하고 있으며, 자사 보안 솔루션인 V3 제품군과 지능형 위협 대응 솔루션 ‘안랩 MDS’에서는 피싱 사이트로 연결되는 URL을 탐지 및 차단하는 기능을 지원하고 있다.

[경제엔미디어=장민철 기자]