안랩(대표 강석균)이 최근 공직자통합메일(korea.kr) 시스템 관리자를 사칭해 계정 정보 탈취를 시도하는 피싱 메일을 발견했다고 6일 밝혔다.
공격자는 의심을 피하기 위해 메일 발신자 이름을 ‘korea.kr’로 설정한 후 ‘[system Administrator]- Notice!’라는 제목으로 시스템 관리자를 사칭해 메일을 발송했다. 메일 본문에는 영어로 ‘해당 계정에 대한 접근이 곧 중단될 예정이다. 이를 취소하려면 아래 Cancel Now 버튼을 눌러라’는 내용을 적어 피싱 페이지로 연결되는 악성 URL 클릭을 유도했다.
사용자가 본문 내용에 속아 ‘Cancel Now’를 누르면 이메일 주소와 비밀번호를 입력을 유도하는 피싱 사이트로 이동된다. 사용자가 해당 피싱 사이트에 자신의 계정 정보를 입력하고 ‘Continue’ 버튼을 누르면 입력한 정보가 즉시 공격자에게 전송된다. 입력 후에는 정상 ‘대한민국 정책브리핑(www.korea.kr)’ 사이트로 연결되기 때문에 사용자는 계정 탈취를 의심하기 어렵다.
피해를 예방하기 위해 안랩은 ▲메일 발신자 주소 확인 ▲출처가 불분명한 메일의 첨부파일 및 URL 실행 자제 ▲사이트 별로 다른 계정 정보 사용 ▲V3 등 백신 프로그램 최신버전 유지 및 피싱 사이트 차단 기능 활성화 ▲프로그램 최신 버전 유지 및 보안 패치 적용 등 기본 보안수칙 실행을 당부했다.
관련기사
- '방문판매법 위반 벌금 고지' 사칭 악성문서 발견2020.07.01
- SW 불법 사용자 노린 악성코드 유포 성행2020.06.29
- 학술대회 논문으로 위장한 악성문서 열람 주의2020.06.08
- 안랩, 하이브리드 클라우드 보안 플랫폼 출시2020.06.05
현재 V3 제품군은 해당 피싱 URL 접속 시 사이트 접근을 차단하고 있다.
김예은 안랩 ASEC분석팀 연구원은 “공격자는 이메일 발신자명부터 메일 내용, 피싱 페이지 구성까지 치밀하게 계획한다”며 “이런 피싱으로 탈취된 계정 정보는 다양한 피해를 발생 시킬 수 있어 평소 주의해야 한다”고 말했다.