보안기업 안랩은 부재중 전화 알림을 위장하는 피싱 메일로 ‘마이크로소프트(MS) 365’ 계정을 탈취하는 사례가 발견됐다고 25일 밝혔다. MS 365는 MS의 다양한 오피스 애플리케이션(앱)을 패키지로 쓸 수 있는 구독 서비스다.

부재중 전화 알림 위장 사례는 공격자가 ‘이 메일은 ○○○애서 발송됐습니다’라는 제목의 메일을 보내는 방식이다. 메일에는 부재중에 녹음된 ‘음성 메시지’와 다시 듣기를 뜻하는 ‘playback_38628.html’이라는 파일이 첨부됐다. 이 사용자가 첨부파일을 열면 MS 365 로그인 페이지와 비슷한 디자인의 ‘피싱 사이트’로 연결된다.

팩스 수신 확인으로 위장한 메일의 경우 공격자가 가짜 문서번호 및 ‘검토해달라(for review)’라는 제목의 메일을 보낸다. 메일에는 ‘스캐너에서 성공적으로 팩스를 수신했다’는 내용과 피싱 사이트로 연결되는 파일을 첨부했다. 사용자가 첨부파일을 열면 MS 365 계정의 비밀번호 입력을 유도하는 피싱 사이트로 연결된다.

이 로그인 위장 피싱 사이트에는 이미 이메일 주소가 입력된 것처럼 꾸며져 있어 사용자가 의심 없이 비밀번호를 입력할 수 있다. 그뿐만 아니라 계정과 연결된 프로그램 내 정보까지 탈취당할 수 있어 각별한 주의하고 필요하다고 안랩은 설명했다.

피싱을 예방하기 위해서는 Δ이메일 발신자 등 출처 확인 Δ출처가 의심스러운 첨부파일 및 URL 실행 금지 Δ사이트마다 다른 계정 사용 및 비밀번호 주기적 변경 ΔV3 등 백신 프로그램 최신버전 유지 및 피싱 사이트 차단 기능 활성화를 해야 한다.

김성경 안랩 분석팀 연구원은 “사용자가 피싱 사이트에 속아 조직에서 사용 중인 계정정보를 입력할 경우 개인정보 뿐 아니라 조직의 정보까지 탈취될 위험이 있어 각별한 주의가 필요하다”며 “피해 예방을 위해 의심스러운 메일 속 첨부파일이나 URL을 실행하지 않아야 한다”고 말했다.

현재 안랩 V3 제품군은 문제의 피싱 사이트를 차단하고 있다.

(서울=뉴스1)