잉카인터넷, 2023년 하반기 주요 피싱 메일 유형 발표
가상자산 이벤트 메일부터 특정 기간 노린 지능적 피싱...피싱 메일 유형은 진화 중

[보안뉴스 김영명 기자] 매년 유명 기업, 기관 등을 사칭해 이메일을 보내 계정 및 결제 정보를 탈취하거나 악성 파일을 첨부해 공격하는 피싱 사례가 늘고 있다. 특히 올해 하반기 주요 피싱 메일 유형으로는 △‘NFT 무상 지급’ 이벤트 미끼 △국가기관 등 전자문서 사칭한 피싱 메일 △연말연시 등 특정 기간 노린 지능적 피싱 메일 등으로 요약할 수 있다.


잉카인터넷 시큐리티 대응센터(Internet Security Analysis & Response Center, 이하 ISARC)는 올해 하반기 국내에서 발생한 다양한 피싱 메일 공격 사례를 분석했다. 먼저 ‘NFT 무상 지급’ 이벤트를 미끼로 한 피싱 메일이다. 미래 먹거리 중 하나로 꼽히는 블록체인 기술을 활용한 가상화폐 투자가 재테크 수단으로 많은 주목을 받으면서 디지털 자산의 소유주를 증명하는 가상의 대체불가토큰(Non-Fungible Token, 이하 NFT) 지급을 사칭한 피싱 메일이 늘고 있다.

올해 하반기에는 NFT 지급을 미끼로 국내 대형 유통사와 항공사 등을 사칭한 피싱 사례가 여러 건 발생하기도 했다. 대표적인 공격 방식으로는 유명 기업을 사칭해 ‘NFT 지급 이벤트’와 같은 제목의 이메일을 불특정 다수에게 발송한다. 해당 메일에는 위장된 가짜 웹사이트로 연결되는 링크를 포함해 개인의 가상지갑 정보를 탈취한다.


다음으로는 ‘국가기관 로고’에 방심하는 것도 금물이다. 최근 국가기관 등의 전자문서를 사칭한 피싱 메일 사례도 꾸준히 늘어나고 있다. 실제 국가기관의 로고를 넣어 교묘하게 편집된 피싱 웹페이지를 통해 사용자의 클릭을 유도하고, 개인정보나 계정정보를 입력하게 만들어 탈취하는 사례가 확인됐다.


또 다른 유형 중 하나는 ‘연말연시, 명절 등 특정 기간 노린 지능적 피싱 메일 기승’이 두드러졌다는 점이다. 연휴를 이용해 휴가를 떠나는 특정 기간을 노린 시즌성 피싱 메일도 쉽게 찾아볼 수 있다. 항공사, 여행사 등을 사칭해 전자 항공권의 예약 확인 메일을 발송하고, 결제와 관련된 정보를 표시해 사용자의 클릭을 유도한다. 클릭 후 입력한 개인정보가 공격자의 서버로 전송되거나 사용자의 PC에 악성코드 등이 설치될 수 있으므로 사용자들의 주의가 필요하다.

잉카인터넷 박지웅 ISARC 리더는 “피싱 메일의 공격 수법은 지속해서 진화하고 있다”며 “발신자가 불분명한 메일에 포함된 링크나 첨부파일을 클릭하지 않도록 주의하고, 접속 페이지의 URL 주소를 확인해 피싱 피해를 예방해야 한다”고 조언했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>