공문 위장 HTML 피싱 확산…기업메일 노린다

공문 위장 HTML 피싱 확산…기업메일 노린다
네이버웍스 사용자만 가려내는 표적 공격
DNS API 활용해 도메인 검증 뒤 정보 탈취

(서울=연합뉴스) 오지은 기자 = 최근 네이버웍스 사용자를 대상으로 고용노동부 사칭 이메일 피싱 공격이 발생하면서 기업 메일을 사용하는 이용자의 주의가 필요해 보인다.
15일 정보통신기술(ICT) 업계에 따르면 이스트시큐리티 대응센터는 네이버웍스 사용자를 겨냥한 고도화된 피싱 공격을 포착했다고 밝혔다.

피싱 메일은 '[공문/필수] 2027년 고용노동부 노동정책 포럼 자료 제출 요청'이라는 제목으로 유포됐다.
공격자는 메일 본문에 노동부와 공식 협력사를 사칭한 법적 근거와 참조 코드를 명시해 메일 수신자의 의심을 피하려고 했다.
먼저 이용자가 첨부된 HTML 파일을 공문 파일로 오인해 파일을 실행하면 파일 내부에 포함된 스크립트가 동작하면서 사용자 이메일 주소에서 도메인을 추출한다.
도메인을 추출한 공격자는 구글과 클라우드플레어의 DNS API를 이용해 이용자가 네이버웍스 이용자가 맞는지 판단한다.
DNS API는 도메인 이름 시스템(DNS)을 원격으로 빠르게 변경할 수 있게 하는 도구를 의미한다.
만약 메일 수신자가 네이버웍스 이용자로 확인된다면 공격자는 로그인 페이지를 표시해 비밀번호 입력을 유도한다. 네이버웍스 이용자가 아닌 경우에는 로그인 페이지를 표시하지 않고 빈 페이지로 이동시켜 공격이 종료된다.
이용자가 로그인 화면에 정보를 입력하면 공격자가 제어하는 텔레그램 봇 API를 거쳐 실시간으로 전송된다.
이스트시큐리티에 따르면 탈취된 항목은 이메일 계정, 비밀번호, 브라우저 정보 등이다.

공격자는 입력 정보의 정확도를 높이기 위해 오류 메시지를 표시하고 사용자가 반복적으로 비밀번호를 입력하게 하는 등 치밀한 공격 수법을 사용했다.
또 공격자는 첨부한 HTML에 분석 방해 기능을 적용해뒀다.
스크립트 가독성을 떨어뜨리고 마우스 우클릭을 차단하는 기법이 사용됐다.
이스트시큐리티는 기업 메일을 사용하는 환경에서 첨부된 HTML 파일을 로그인하지 않고 다중 인증(MFA)을 필수로 설정해야 한다고 조언했다.
이스트시큐리티는 이번 공격이 단순한 대량 유포형 공격이 아니라 수신자의 이메일 도메인을 분석해 기업 사용자를 타깃으로 삼는 공격이라는 점에서 더욱 위험하다고 지적했다.
이스트시큐리티는 "공문이나 정부기관을 사칭하는 공격은 사용자가 쉽게 속을 수 있다"라며 "의심스러운 메일의 첨부파일 실행과 계정 정보 입력은 계정 탈취로 이어질 수 있다"라고 경고했다.
built@yna.co.kr
(끝)


<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>