세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
포털 다음과 DHL 계정정보 노린 이메일 피싱도 ‘컴백’
  |  입력 : 2017-11-23 17:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
최근 HTM, HTML 첨부파일 통해 아이디와 패스워드 탈취하는 공격 증가
계정탈취는 추가 피해가능성 높아...첨부파일은 함부로 확인하지 말야야


[보안뉴스 원병철 기자] 첨부파일을 이용한 계정탈취 피싱이 다시 기승을 부리고 있다. 특히, 국내 대표 포탈인 다음과 국제 특송서비스 DHL 계정을 노린 것으로 확인돼 사용자의 주의가 요구되고 있다.

▲ 다음과 DHL 계정정보를 노린 HTML 파일[자료=제로서트]


위협 정보 대응 전문 서비스를 제공하는 제로서트(ZeroCert) 측은 첨부파일을 이용한 계정탈취 피싱이 확인됐다고 설명했다. 지금까지 △Sample.html △BL No EE764429352TW.htm 등 2개의 첨부파일이 확인됐으며, 계정을 탈취하는 서버는 미국과 오스트리아로 밝혀졌다는 것. 첨부파일을 실행하면 다음(DAUM)과 DHL을 위장한 가짜 홈페이지로 이동, 아이디(ID)와 비밀번호(PW)를 입력하도록 유도해 계정을 탈취하려는 것이 목적이다.

▲ 바이러스토탈에서 확인한 HTML 파일[자료=바이러스토탈 홈페이지]


바이러스토탈(Virustotal) 검색 결과 첨부파일 링크에서 1개 이상의 악성파일이 발견됐다. 특히, 해당 링크는 지난 8월 17일부터 11월 22일까지 꾸준하게 활동한 것으로 확인됐다. 한 보안전문가는 “실제 첨부파일을 분석해본 결과 계정정보를 탈취하는 피싱 공격지만, 다른 정보를 빼가거나 별도의 악성행위를 하지는 않는 것 같다”고 설명했다.

또한, 제로써트 측은 이메일을 통한 랜섬웨어, 뱅킹 악성코드 유포도 활발히 활동 중에 있어 출처가 불분명한 메일이나 첨부파일은 실행시 주의할 것을 당부했다. 또한, 제로서트는 지난 2016년 국내외 포털의 랜섬웨어 등 이메일 스팸공격 테스트를 진행했을 때, 단 1곳만 모든 공격을 차단했었다며, 좀 더 강력한 이메일 보안 정책을 촉구했다.

한편, 계정탈취는 단순히 아이디와 패스워드만 탈취당하는 것으로 끝나지 않아 더욱 위험한 공격이라고 할 수 있다. 대부분의 사람들이 한 개의 아이디와 비밀번호를 똑같이 사용하기 때문에 이번 공격으로 탈취한 정보를 바탕으로 다른 웹사이트도 공격이 가능하기 때문이다. 이에 한 번 계정정보를 탈취당했다면 같은 아이디를 사용하는 모든 웹사이트의 비밀번호를 바꿔야 한다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#HTM   #HTML    # 첨부파일    #다음   #DHL    #계정정보    #이메일    #피싱   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)