CWN(CHANGE WITH NEWS) - [독점] 해외 보안 기업, 美 노동부 사칭 피싱 공격 감지...오피스 365 계정 등 민감 정보 탈취 시도

미국 피싱 보안 기업 잉키(Inky)가 미국 노동부를 사칭한 피싱 공격 시도 사례를 뒤늦게 발견했다.

테크리퍼블릭, 블리핑컴퓨터 등의 보도에 따르면, 피싱 세력은 지난해 하반기 미국 노동부 관계자로 위장해 피싱 메일을 통해 오피스 365 기밀 정보 탈취를 시도했다.

잉키 연구팀은 1월 19일(현지 시각), 공식 블로그를 통해 노동부의 실제 도메인인 no-reply@dol.gov로 불특정 다수에게 피싱 메일을 전송했다고 밝혔다.

해당 피싱 메일은 노동부가 추진하는 프로젝트 참여 도움을 요청한다. 메일과 함께 실제 노동부 문서처럼 보이는 PDF 파일도 첨부했다. 해당 파일의 2페이지에 포함된 ‘참여(BID)’ 버튼을 누른다면, 노동부 공식 포털로 위장한 악성 웹사이트로 접속하게 된다.

이후, 사용자가 ‘참여 클릭(Click here to bid)’ 버튼을 누르면, 프로젝트 참여 신청서와 같은 기밀 정보 탈취 양식을 받게 된다. 해당 양식은 사용자의 마이크로소프트 계정을 포함한 각종 비즈니스 계정 민감 정보 입력을 유도한다.

피해자가 해당 양식에 민감 정보를 입력하면, 정보가 일치하지 않는다는 오류 메시지가 등장한다. 그러나 실제 피해자의 정보는 해커의 손으로 넘어간 상태이다.

잉키 연구팀이 발견한 사례와 비슷한 정부 기관 및 교육 기관을 위장한 피싱 사례가 급격히 증가했다. 특히, 피싱 공격에 공식 정부 및 대학 기관과 똑같은 악성 웹사이트와 첨부 문서를 동원하여 피해자를 속이는 등 갈수록 수법이 교묘해지는 추세이다.

지난달에는 화이자 연구팀을 사칭하고는 피싱 메일, PDF 첨부 파일과 함께 화이자 입찰 기회 참여를 유도하며 기밀 정보를 탈취한 사례가 보고됐다. 당시 피싱 세력은 정통한 메일 서버까지 동원해, 최대한 많은 이들의 정보를 탈취하려 했다.

테크리퍼블릭은 정부 기관이나 신뢰할 수 있는 기관, 단체를 사칭한 피싱 증가 추세에 주목해, 다음과 같은 예방 방법을 안내했다.

▲ 메일 전송자 주소 검토하기
미국 정부 기관의 메일 도메인 주소는.gov나 .mil 등이며, .com이나 다른 도메인은 사용하지 않는다.

▲ 정부 기관 주장하는 메일 의심하기
미국 정부는 보통 대중에게 구체적인 입찰이나 프로젝트 참여 안내 메일을 보내지 않는다.

▲ 모든 절차 단계 경계하기
이번 노동부 사칭 피싱 사례와 같이 이메일 로그인이나 계정 정보 입력을 요구한다면, 메일로 주장한 바와 다른 의도로 악용될 가능성을 의심해보아야 한다.

▲ SMTP 서버 설정 확인하기
이메일 관리자는 인증되지 않거나 허가되지 않은 사용자가 해외 IP 주소로 보낸 전자 메일을 로컬이 아닌 메일박스로 전달하도록 SMTP 서버를 설정해서는 안 된다.

[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]