포털 다음과 DHL 계정정보 노린 이메일 피싱도 ‘컴백’

최근 HTM, HTML 첨부파일 통해 아이디와 패스워드 탈취하는 공격 증가
계정탈취는 추가 피해가능성 높아...첨부파일은 함부로 확인하지 말야야

[보안뉴스 원병철 기자] 첨부파일을 이용한 계정탈취 피싱이 다시 기승을 부리고 있다. 특히, 국내 대표 포탈인 다음과 국제 특송서비스 DHL 계정을 노린 것으로 확인돼 사용자의 주의가 요구되고 있다.

▲ 다음과 DHL 계정정보를 노린 HTML 파일[자료=제로서트]

위협 정보 대응 전문 서비스를 제공하는 제로서트(ZeroCert) 측은 첨부파일을 이용한 계정탈취 피싱이 확인됐다고 설명했다. 지금까지 △Sample.html △BL No EE764429352TW.htm 등 2개의 첨부파일이 확인됐으며, 계정을 탈취하는 서버는 미국과 오스트리아로 밝혀졌다는 것. 첨부파일을 실행하면 다음(DAUM)과 DHL을 위장한 가짜 홈페이지로 이동, 아이디(ID)와 비밀번호(PW)를 입력하도록 유도해 계정을 탈취하려는 것이 목적이다.

▲ 바이러스토탈에서 확인한 HTML 파일[자료=바이러스토탈 홈페이지]

바이러스토탈(Virustotal) 검색 결과 첨부파일 링크에서 1개 이상의 악성파일이 발견됐다. 특히, 해당 링크는 지난 8월 17일부터 11월 22일까지 꾸준하게 활동한 것으로 확인됐다. 한 보안전문가는 “실제 첨부파일을 분석해본 결과 계정정보를 탈취하는 피싱 공격지만, 다른 정보를 빼가거나 별도의 악성행위를 하지는 않는 것 같다”고 설명했다.

또한, 제로써트 측은 이메일을 통한 랜섬웨어, 뱅킹 악성코드 유포도 활발히 활동 중에 있어 출처가 불분명한 메일이나 첨부파일은 실행시 주의할 것을 당부했다. 또한, 제로서트는 지난 2016년 국내외 포털의 랜섬웨어 등 이메일 스팸공격 테스트를 진행했을 때, 단 1곳만 모든 공격을 차단했었다며, 좀 더 강력한 이메일 보안 정책을 촉구했다.

한편, 계정탈취는 단순히 아이디와 패스워드만 탈취당하는 것으로 끝나지 않아 더욱 위험한 공격이라고 할 수 있다. 대부분의 사람들이 한 개의 아이디와 비밀번호를 똑같이 사용하기 때문에 이번 공격으로 탈취한 정보를 바탕으로 다른 웹사이트도 공격이 가능하기 때문이다. 이에 한 번 계정정보를 탈취당했다면 같은 아이디를 사용하는 모든 웹사이트의 비밀번호를 바꿔야 한다.
[원병철 기자(boanone@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)