보낸사람 이메일 주소와 URL 주소가 하이웍스 공식 도메인이 아니면 무조건 의심해야

[보안뉴스 원병철 기자] 메일 호스팅과 클라우드 그룹웨어로 잘 알려진 하이웍스를 사칭한 악성메일이 11일 두 차례 유포된 것이 확인돼 사용자의 주의가 요구된다. 특히, 두 가지 악성메일은 메일 내용과 디자인은 다르지만 모두 링크를 클릭하도록 유도하는 방식을 사용하고 있다.


11일 오전에 발견된 ‘하이웍스 보안 업데이트!’ 메일은 ‘중요 보안 공지’란 제목으로 발송됐다. 메일을 열어보면 ‘우리는 우리의 이메일 보안 서버를 업데이트했습니다. 이메일 안전 및 보안을 위해 메일 계정을 친절하게 업데이트하십시오.’라고 기재돼 있으며 주황색의 ‘업데이트하려면 여기를 클릭하십시오’란 하이퍼링크가 자리하고 있다.


11일 오후에 발견된 메일은 ‘○○○@○○○(메일 주소) 이(가) 메시지 전송 및 수신이 제한되었습니다’라는 제목으로 메일이 정상적으로 송수신되지 않는다고 불안감을 조성한다. 역시나 ‘○○○@○○○(메일 주소) 다시 장전’이란 이름의 하이퍼링크가 메일 하단에 위치해 있다.

두 메일 모두 자세하게 살펴보면 어색한 한글 사용 등 허술한 부분을 찾아볼 수 있다. 또한, 하이웍스를 사칭하고 있지만 보낸사람 메일 주소가 하이웍스가 아닐뿐더러, 누가 보냈는지도 적혀 있지 않다.

실제로 하이웍스는 하이웍스 사칭 메일의 피해를 막기 위해 ‘4가지 확인사항’을 안내했다. 첫 번째는 보낸사람 이메일 주소가 하이웍스 공식 도메인, 즉 ‘hiworks.com, hiworks.co.kr, gabia.com, gabia.net’으로 발송된 메일이어야 한다는 것. 두 번째는 이메일이 인증을 통과한 메일이어야 한다는 것. 이 경우 아웃룩과 같은 메일 클라이언트가 아닌 웹메일로만 확인이 가능하다.

세 번째 하이웍스가 발송하는 메일은 ‘첨부파일’을 포함하지 않기 때문에 첨부파일이 있을 경우 무조건 의심해야 하며, 네 번째 링크의 URL이 공식 도메인 ‘hiworks.com, gabia.com’이 아니면 피싱 사이트로 연결될 수 있다는 점 등을 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>