"쿠팡이 보낸 게 아니네?"…안내 메일 클릭 한 번에 내 정보 '탈탈' 털린다

#. 쿠팡 고객인 직장인 A씨는 최근 '쿠팡 계정 보안 경고' 메일을 받았다가 황당한 일을 겪었다. 메일에는 '계정에서 의심스러운 로그인 활동이 감지돼 계정을 안전하게 유지하기 위해 재인증이 필요하다. 지금 재인증을 완료하지 않으면 서비스 제한이 있을 수 있다'는 내용이 담겨 있었다. 또 계정 재인증을 위해 메일 내 '정보 인증 페이지'를 클릭하라고 표시돼 있어 A씨는 다급한 마음에 이곳에 이메일과 비밀번호를 입력했다. 하지만 이곳은 쿠팡이 운영하는 핀테크 자회사 쿠팡페이를 사칭한 '피싱' 사이트였고, 이 일로 A씨의 로그인 정보는 탈탈 털렸다.

최근 A씨처럼 피싱(phishing·개인 정보를 이용한 사기) 이메일을 받는 사례가 급증하고 있는 가운데 올해 2분기 동안 피싱 공격자들이 가장 많이 활용한 키워드는 '결제·구매'인 것으로 나타났다.

15일 안랩이 분석한 2분기 피싱 이메일 통계 보고서에 따르면 피싱 이메일 공격자가 가장 많이 이용한 키워드는 모두 일상생활이나 업무와 밀접한 연관이 있었다. 특히 '결제·구매'는 27.7%로 1위를 차지했다. 공격자들은 이메일 제목에 결제(payment), 주문(order), 청구서(invoice) 등 금전 거래와 연관된 용어를 넣어 사용자의 주의를 끌었다.

'배송·물류'와 관련한 키워드는 20.6%로 2위를 기록했다. 공격자들은 배송(delivery), 운송(shipment), 세관(customs) 등의 단어를 쓰거나 실제 유명 물류 업체명을 언급하며 사칭을 시도했다.

3위는 공지·알림성 키워드 유형(8.7%)이 차지했다. 긴급(urgent), 안내(notice) 등의 키워드를 앞세워 불안한 심리와 호기심을 악용하는 사례로 지목됐다.

안랩 관계자는 "언급된 세 가지 키워드 유형 모두 업무와 일상생활과 관련성이 높다"며 "최근 중국 이커머스 등을 통한 해외 직구가 유행하고 있는 만큼 사용자들의 각별한 주의가 필요하다"고 설명했다.

또 안랩이 2분기 동안 피싱 이메일 내 첨부파일 유형을 분석한 결과 '가짜 페이지(50%)'가 가장 많았던 것으로 조사됐다. HTML 등으로 제작된 가짜 페이지는 유명 포털이나 정상 페이지의 화면 구성, 로고, 폰트 등을 모방한 것으로 나타났다. 주로 로그인 페이지로 위장해 사용자가 자신의 계정 정보를 입력하도록 유도하고 이를 공격자의 서버로 전송하는 공격 구조를 갖춘 것으로 파악됐다.

감염PC에 추가 악성코드를 내려받는 '다운로더(Downloader, 13%)'도 상당히 많았다. 정상적인 프로그램을 가장해 실행 시 악성코드를 실행하는 '트로이목마(Trojan, 10%)', 사용자 정보를 탈취하는 '인포스틸러(Infostealer, 5%)' 등도 뒤를 이었다.

직전 분기에는 확인되지 않았던 '드로퍼(Dropper, 시스템에 악성코드를 설치하기 위해 설계된 프로그램)'와 '애드웨어(Adware, 설치 시 자동적으로 광고를 표시하는 프로그램)'도 일부 탐지돼 눈길을 끌었다. 공격자는 목적을 달성하기 위해 다양한 유형의 악성코드를 활용하기 때문에 사용자들은 첨부파일 실행에 더욱 주의해야 한다.

더불어 올해 2분기 피싱 이메일에 가장 많이 사용된 첨부파일 확장자 카테고리는 '스크립트 파일(50%)'로 확인됐다. 스크립트 파일은 가짜 페이지를 웹 브라우저에서 실행하기 위해 사용하는 것으로 ▲.html ▲.shtml ▲.htm 등의 확장자를 포함한다.

두 번째로 많이 사용된 첨부파일 확장자 유형은 '압축파일(29%)'로 나타났다. 확장자는 ▲.zip ▲.rar ▲.7z 등으로, 공격자는 악성 실행 파일을 은닉하기 위해 압축 파일 형식을 사용하는 것으로 분석됐다. 이러한 확장자로 유포한 악성파일을 압축 해제할 시에는 다운로더, 인포스틸러 등 다양한 악성코드에 노출된다.

▲.doc ▲.xls ▲.pdf 등의 확장자를 포함하는 '문서(12%)'도 상당 부분을 차지했다. 악성 문서 형태의 경우 사용자들이 무심코 실행할 수 있기 때문에 더욱 주의가 필요하다.