잉카인터넷(대표 주영흠)은 2023년 하반기에 발생한 피싱 메일 공격 사례를 분석한 결과를 발표했다.

매년 유명 기업, 기관 등을 사칭해 이메일을 보내 계정 및 결제 정보를 탈취하거나 악성 파일을 첨부해 공격하는 피싱 사례가 늘고 있다. 잉카인터넷 시큐리티 대응센터(Internet Security Analysis & Response Center, 이하 ISARC)는 올해 하반기 국내에서 발생한 다양한 피싱 메일 공격 사례를 분석해 대표적인 유형 세 가지를 공개했다.

■ ‘NFT 무상 지급’ 이벤트 미끼 주의

미래 먹거리 중 하나로 꼽히는 블록체인 기술을 활용한 가상화폐 투자가 재테크 수단으로 많은 주목을 받으면서 디지털 자산의 소유주를 증명하는 가상의 대체불가토큰(Non-Fungible Token, 이하 NFT) 지급을 사칭한 피싱 메일이 늘고 있다. 

올해 하반기 NFT 지급을 미끼로 국내 대형 유통사와 항공사 등을 사칭한 피싱 사례가 여러 건 발 생하기도 했다. 대표적인 공격 방식으로는 유명 기업을 사칭해 ‘NFT 지급 이벤트’와 같은 제목의 이메일을 불특정 다수에게 발송한다. 해당 메일에는 위장된 가짜 웹사이트로 연결되는 링크를 포함해 개인의 가상 지갑 정보를 탈취한다. 

■​ 국가기관 로고에 방심은 금물

국가기관 등의 전자 문서를 사칭한 피싱 메일 사례도 꾸준히 늘어나고 있다. 실제 국가기관의 로고를 넣어 교묘하게 편집된 피싱 웹페이지를 통해 사용자의 클릭을 유도하고, 개인 정보나 계정 정보를 입력하게 만들어 탈취하는 사례가 확인됐다. 

■​ 연말연시, 명절 등 특정 기간 노린 지능적 피싱 메일 기승

연휴를 이용해 휴가를 떠나는 연말연시, 명절 등 특정 기간을 노린 시즌성 피싱 메일도 쉽게 찾아볼 수 있다. 항공사, 여행사 등을 사칭해 전자 항공권의 예약 확인 메일을 발송하고, 결제와 관련된 정보를 표시해 사용자의 클릭을 유도한다. 클릭 후 입력한 개인 정보가 공격자의 서버로 전송되거나 사용자의 PC에 악성코드 등이 설치될 수 있으므로 각별한 주의가 필요하다.

박지웅 ISARC 리더는 “피싱 메일의 공격 수법이 지속적으로 진화하고 있다”며, “발신자가 불분명한 메일에 포함된 링크나 첨부파일을 클릭하지 않도록 주의하고, 접속 페이지의 URL 주소를 확인해 피싱 피해를 예방해야 한다”고 조언했다. 

이동수 / ssrw@gameshot.net