실존기업 포스코 인터내셔널 사칭해 메일 발송...첨부파일 악성진단률 매우 낮아

[보안뉴스 원병철 기자] 잊을 만 하면 메일함을 가득 채우는 악성메일이 23일 오전에도 발견됐다. 특히, 이번 공격은 많은 사람들이 속아 넘어가는 ‘발주서’ 형태인데다 발송처 이름과 기업 이름을 실존하는 기업들의 이름을 그대로 사용했기 때문에 생각 없이 첨부파일을 확인했다가는 큰 낭패를 볼 수 있다.


4월 23일 오전 발견된 이 악성메일은 ‘금성○○○’이란 실존하는 기업의 이름으로 발송됐다. 하지만 실제 발송메일 주소는 기업 메일이 아닌 한메일이며, 본문에는 금성○○○이 아닌 대기업인 ‘포스코 인터내셔널’을 사칭하고 있어 조금만 확인하면 이상한 점을 눈치 챌 수 있다.

‘Posco: 월 구매 주문/Order&Specification-Quote’이란 제목으로 발송되어 기업인들을 대상으로 하고 있으며, 본문에서는 ‘첨부의 발주서 확인 부탁드립니다. 발주서 확인하시면 확인 여부 메일로 회신 부탁 드립니다.’라고 첨부파일을 확인할 것을 유도하고 있다. 메일 하단에는 기업이름인 포스코 인터내셔널과 상세 주소와 연락처가 적혀있는데, 본지가 확인해보니 해당 주소는 부산으로 포스코 인터내셔널 부산지사와 상관없는 한 여관 주소였다.


첨부된 파일은 ‘RFQ-PO-067MR65870-NO#10-Order&Specifications’란 이름의 이미지(.img) 파일이며, 압축프로그램으로 풀면 같은 이름의 실행파일(.exe)이 나온다. 바이러스토탈에 확인한 결과 23일 오전 8시 50분 기준으로 72개 안티 멀웨어 중 7개만이 악성파일로 판단했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>