글로벌 기업 ‘삼성’으로 위장한 악성메일의 정체

포털사이트 다음 한메일로 삼성 사칭해 유포...SAMSUNG SDI 악성파일 첨부
발신인과 수신인 동일... 숨은 참조 등에 특정 타깃 넣어 공격할 수 있어 주의해야

[보안뉴스 김경애 기자] 우리나라를 대표하는 글로벌 기업 삼성을 사칭한 악성메일이 유포되고 있는 것으로 드러났다.

▲삼성을 위장한 악성메일 유포 화면[이미지=보안뉴스 입수]

이번에 발견된 악성파일은 포털사이트 다음의 한메일 계정을 통해 14일 유포됐으며, 보안업계에 탐지됐다. 특히, 수신자와 발신자가 동일해 이목이 집중되고 있다.

수신자와 발신자와 동일한 이유에 대해 익명을 요청한 보안전문가는 “공격자가 자신을 숨기고 특정 타깃을 대상으로 유포하고 있는 것으로 보인다”며 “겉으로 보기엔 수신인을 삼성으로 똑같이 넣어 위장하고 있지만, 실제로는 ‘숨김’이나 ‘참조’에 어떤 특정 타깃의 메일 주소를 넣어 발송했을 수도 있다”고 예측했다.

발견된 악성메일은 429.16KB 파일 크기의 ‘SAMSUNG SDI’ 파일명으로 .zip 형태의 압축파일이 첨부돼 있다. 해당 악성파일은 30일간 보관이 가능하며, 100회 다운로드가 가능한 것으로 표기돼 있어 감염 확대가 우려되는 상황이다.

이에 따라 출처가 불분명한 메일을 수신하지 않도록 각별히 주의해야 하며, 삼성을 사칭한 악성파일인 만큼 삼성이 포함된 메일이나 문서를 주고받을 때 보안에 신경써야 한다. 또한, 파일 수신 전에 실제 해당 메일을 보냈는지 확인하는 것이 바람직하다.

이와 관련 한 보안전문가는 “해당 악성 메일은 제목엔 영문으로 삼성을 위장하고 있지만 실제 첨부파일엔 영문으로 삼성SDI로 표기돼 있는 것을 봐선 한국이나 삼성에 대해 자세히 알고 있는 공격자는 아닌 것 같다”면서도 “한국을 타깃으로 악의적인 해킹 메일이 유포되는 정황이 속속 탐지되고 있는 만큼 메일 수신시 첨부파일 확인에 만전을 기해야 한다. 이와 함께 백신을 최신 버전으로 업데이트하고, 소프트웨어와 프로그램 등도 최신 버전으로 유지해야 한다”고 당부했다.

본지 취재 결과 해당 악성메일은 한국인터넷진흥원에서 분석 중인 것으로 알려졌다. 한국인터넷진흥원 관계자는 “현재 해당 악성메일을 분석하고 있다”며 “스피어 피싱의 경우, 공격대상 목표의 관심사 및 업무 등을 악용하기 때문에 속기 쉽다. 이에 메일 발신지에 대한 철저한 확인과 함께 첨부된 링크나 파일은 만약 감염이 되더라도 보안상 문제가 적은 곳에서 확인해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)