‘전쟁과여성인권박물관’에서 견적 요청이? 메일 계정 해킹해 악성 이메일 유포

‘전쟁과여성인권박물관’의 다음 이메일 계정 해킹돼 악성 이메일 유포에 악용
ESRC, 박물관 사칭해 견적 요청 의뢰 메일 유포...개인정보 탈취해 해외 서버로 유출

[보안뉴스 권 준 기자] 일본 위안군 문제를 해결하기 위해 활동하는 공간인 ‘전쟁과여성인권박물관’의 다음(카카오) 메일 계정이 해킹돼 해당 계정을 악용한 악성 이메일이 유포된 것으로 드러났다.

‘전쟁과여성인권박물관’은 18일 공식 홈페이지 안내를 통해 해킹 메일 발송 관련 주의를 공지했다. 박물관 공지사항에 따르면 전쟁과여성인권박물관의 Daum 한메일 계정(war_women@hanmail.net)이 해킹되어 ‘견적서 요청’이라는 제목의 이메일이 불특정 다수에게 발송됐다며 이에 박물관 측은 박물관 다음 메일 계정으로 발송된 '견적서 요청'이라는 제목의 메일은 내용을 확인하지 말고 삭제 조치하길 당부했다.

▲전쟁과여성인권박물관 홈페이지 공지사항 화면[이미지=이스트시큐리티 ESRC]

유포된 악성 이메일에는 ‘8/29까지 견적 요청드립니다. 수고하십시오’라는 문구와 함께 박물관 실제 주소와 연락처, 후원계좌 번호 등이 적혀 있지만, 박물관은 이런 이메일을 전혀 발송한 바 없다고 밝혔다. 또한, 이메일에는 '인용문.htm' 이름의 파일이 첨부돼 있는 것으로 알려졌다.

한편, 이스트시큐리티 시큐리티대응센터(ESRC)는 이와 거의 유사한 형태의 악성 이메일이 18일인 토요일 오후에 전파된 것을 발견했다고 밝혔다.

▲견적요청의 건, 제목과 인용문 파일이 첨부된 악성 이메일 화면[이미지=이스트시큐리티 ESRC]

해당 이메일의 경우 발신지는 Daum 한메일 계정이 사용됐지만 이메일 주소는 ‘war_women’ 주소가 아니라 ‘kystime’ 아이디가 사용됐다. 그러나 이메일 제목과 첨부 파일명은 전쟁과여성인권박물관에서 공개된 내용과 형식이 일치한다는 게 ESRC 측의 설명이다.

ESRC는 “악성 이메일의 발신지 IP 주소를 조사해본 결과 한국소재로 할당된 대역으로 확인됐다”면서도 “공격자는 서로 다른 IP 대역을 통해 악성 이메일을 발송할 수 있다”고 설명했다.

만약 수신자가 이메일에 첨부되어 있던 ‘인용문.htm’ 파일을 실행하면 기본으로 설정된 웹브라우저가 실행되고, 마치 보안 기능이 설정된 어도비 문서(PDF) 열람을 위해 이메일 주소와 암호를 입력하도록 유도하는 것으로 분석됐다.

해당 화면에 이메일 주소와 암호를 입력하고 [View PDF Document] 버튼을 누르면, 입력된 개인정보는 공격자가 지정한 해외 서버로 유출되고, 화면은 정상적인 어도비 사이트로 변경해 이용자가 착각하도록 만든다.

ESRC는 “해당 악성파일 변종이 국내에 지속 전파되고 있다는 것을 확인했으며, 최근 유사 변종도 확보해 알약(ALYac) 백신제품에 긴급 업데이트했다”고 밝혔다.
[권 준 기자(editor@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)