인기 회계 프로그램 제로에서 온 것 같은 악성 메일

제로가 발행한 것 같은 인보이스 관련 메일, 현재 위험
이번 달만 두 번째...기업 노리는 이메일 공격 빈번, 다양해져

[보안뉴스 문가용 기자] 해외에서 인기리에 사용되고 있는 유명 회계 소프트웨어인 제로(Xero)를 활용한 이메일 사기 공격이 대규모로 진행되고 있다. 소프트웨어가 해커들에게 뚫린 것은 아니고, 제로로 발행한 인보이스와 똑같이 생긴 위조문서가 먹이처럼 피해자들을 낚아채고 있다. 이메일 보안 전문 업체인 메일가드(Mailguard)가 발견했다.

▲ 피싱 이메일의 사례 [이미지 = 메일가드 블로그]

피해자는 먼저 워드 문서가 첨부된 이메일을 받는다. 이메일 제목과 파일 이름 모두 인보이스인 것처럼 꾸며져 있으며 악성 매크로를 포함하고 있다. 메일가드는 매크로에 대해 “소프트웨어 속 소프트웨어”라고 설명하며 “사용자 눈에 보이지 않는 부분에서 실행되기 때문에 악성 프로그램이 숨어들기 딱 좋은 곳”이라고 경고한다.

또한 .doc 파일에 매크로를 심는 공격은 흔한 일이며, 매크로 자체가 악성이기보다 매크로가 사용자 몰래 추가로 다운로드 받는 페이로드나 코드가 악성일 가능성이 높다고 메일가드는 말한다. “바이러스일 수도 있고, 스파이웨어일 수도 있으며, 랜섬웨어일 가능성도 있습니다.” 이번에 메일가드가 발견한 제로 사기 공격에서는 어떤 멀웨어가 연루되어 있는지 명확하게 설명하지 않았다.

위조 첨부 파일은 정말 정교하게 만들어져 있으며 피해자의 이름이 정확하게 기재되어 있다. 제로 소프트웨어를 통해 만든 것처럼 보이는 이메일 주소 역시 기입되어 있다. 꼼꼼히 확인한다고 해도 판별이 어려울 정도라고 메일가드는 설명한다. 이러한 문서가 하루에도 수천 건씩 발송되고 있으니 각별히 조심해야 한다고 메일가드는 강조했다.

그러나 피해자가 이 문서를 다운로드 받아 연다고 곧바로 불법 이체가 시작되는 건 아니다. 대신 피해자에게 “제로와의 계약 내용에 따라 돈이 당신의 계좌로부터 빠져나갈 것”이라는 내용의 메시지가 전달된다. 메일가드는 피해자들이 정확하게 어떤 식으로 돈을 잃는지는 설명하지 않고 있다. 대신 “첨부파일을 열기 전 출처 확인을 철저하게 하고, 받기로 예정된 것이 아니면 첨부파일이나 링크 모두 열지 않는 것이 가장 좋다”고 권고한다.

제로가 이메일 사기 공격에 활용된 건 이미 이번 달에만 두 번째다. 한국에서는 제로가 널리 사용되고 있지 않아 이 공격이 대단히 위협적일 것 같지 않지만, 한국에서 인기가 높은 회계 소프트웨어를 가지고 누군가 이번 제로 공격을 응용할 수 있으니 회계 업무 일부를 이메일로 진행하는 직무를 가진 사람은 이메일 발송자 확인을 철저히 하는 습관을 유지하는 게 중요하다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)