최근 고용노동부를 사칭한 피싱 메일이 네이버웍스 사용자를 대상으로 확산되고 있어 사용자들의 각별한 주의가 요구된다. 이스트시큐리티의 조사에 따르면, 이번 피싱 공격은 특히 기업 메일을 사용하는 사용자들을 겨냥한 고도화된 수법을 사용하고 있다. 메일 제목은 ‘[공문/필수] 2027년 고용노동부 노동정책 포럼 자료 제출 요청’으로, 공격자는 수신자가 의심하지 않도록 노동부와의 공식 협력사를 사칭하며 메일 본문에 법적 근거와 참조 코드를 기재했다.
피싱 메일의 핵심은 첨부된 HTML 파일에 있다. 사용자가 이를 공문 파일로 오인하여 실행하게 되면, 파일 내부의 스크립트가 작동하여 사용자의 이메일 주소에서 도메인을 추출한다. 공격자는 구글과 클라우드플레어의 DNS API를 활용해 사용자가 네이버웍스의 이용자인지를 판단한다. 만약 이용자가 네이버웍스 사용자로 확인되면, 공격자는 로그인 페이지를 표시하여 비밀번호 입력을 유도하고, 이용자가 아닌 경우에는 빈 페이지로 이동하게 하여 공격을 종료한다.
이 프로세스에서 탈취되는 정보는 이메일 계정, 비밀번호, 브라우저 정보 등이다. 특히 공격자는 오류 메시지를 표시하고 사용자가 반복적으로 비밀번호를 입력하게끔 유도하여 입력 정보의 정확도를 높이는 정교한 수법을 사용했다. 또한, 분석 방해 기능이 적용된 HTML 파일은 스크립트 가독성을 떨어뜨리고, 마우스 우클릭을 차단하는 기술을 사용하여 사용자가 쉽게 분석할 수 없도록 했다.
이스트시큐리티는 기업 메일을 사용하는 환경에서 첨부된 HTML 파일을 실행하지 말고, 다중 인증(MFA)을 필수로 설정할 것을 강력히 권장하고 있다. 이번 공격은 단순한 대량 유포형이 아닌, 수신자의 이메일 도메인을 분석하여 기업 사용자를 타겟으로 삼는 공격이라는 점에서 더욱 위험하다. 사용자는 정부 기관이나 공문을 사칭한 메일에 쉽게 속을 수 있으므로, 의심스러운 메일의 첨부파일 실행과 계정 정보 입력이 계정 탈취로 이어질 수 있음을 염두에 두어야 한다.
이와 같은 피싱 공격은 지속적으로 진화하고 있으며, 사용자들의 경각심을 높이는 것이 무엇보다 중요하다. 따라서 기업과 개인 모두가 보안 교육을 통해 위협에 대비하고, 의심스러운 메일이나 링크에 접근하는 것을 피하는 습관을 가져야 할 것이다. 이러한 공격에 대한 경고와 함께, 이스트시큐리티는 사용자들의 안전한 온라인 환경을 위해 지속적인 경계를 촉구하고 있다.
[관련기사] https://n.news.naver.com/mnews/article/374/0000492783?sid=101
답글 남기기