- 인사 평가 시기 노린 메일 유포…첨부파일 실행 시 원격 제어 악성코드 감염
안랩이 연말 인사 평가 시즌을 노려 ‘임직원 성과 보고서’로 위장한 악성코드 유포 피싱 메일을 발견하고 사용자 주의를 당부했다. 해당 메일은 첨부파일 실행 시 원격 제어 악성코드를 설치하는 방식으로 동작하는 것으로 분석됐다.
안랩에 따르면 공격자는 기업 인사팀을 사칭해 ‘직원 성과 보고서’ 또는 ‘해고자 리스트’와 같은 제목의 메일을 발송했다. 연말연시 인사 평가, 조직 개편 등 관련 안내 메일이 증가하는 시점을 악용해 수신자의 경계심을 낮추는 수법이 사용됐다.
이번 피싱 메일에는 ‘직원 기록 pdf(staff record pdf)’라는 이름의 첨부파일이 포함됐다. 실제로는 압축파일 형식인 ‘.rar’ 확장자를 사용했으나, 이를 숨겨 일반 PDF 문서로 오인하도록 위장했다. 사용자가 해당 파일을 열면 압축 파일이 내려받아지고, 내부에 포함된 실행 파일(.exe)을 실행할 경우 악성코드가 동작한다.
안랩 분석 결과, 해당 악성코드는 PC 화면 및 키 입력 정보 수집, 웹캠과 마이크 접근, 웹 브라우저 저장 정보 탈취 등 다양한 기능을 수행하는 원격 제어 악성코드로 확인됐다. 공격자는 메일 본문에 ‘빨간색으로 표시된 이름은 해고 예정자’라는 문구를 삽입해 수신자가 첨부파일을 열어보도록 심리적으로 유도했다.
피싱 메일로 인한 피해를 예방하기 위해 안랩은 ▲발신자 이메일 주소 도메인 확인 ▲출처가 불분명한 메일의 첨부파일과 URL 실행 금지 ▲PC와 운영체제, 소프트웨어, 인터넷 브라우저 최신 보안 패치 유지 ▲백신 프로그램의 실시간 감시 기능 활성화 등 기본적인 보안 수칙 준수를 권고했다.
이번 사례를 분석한 안랩 분석팀 임문주 매니저는 연말연시에는 인사 평가, 연봉 협상, 성과급, 연차 등 시기적 관심사가 높은 주제를 악용한 피싱 공격이 증가할 수 있다며, 메일의 발신자와 내용을 주의 깊게 확인하고 의심 사례를 조직 내에서 공유하는 것이 피해 예방에 중요하다고 설명했다.
안랩은 차세대 위협 인텔리전스 플랫폼 ‘안랩 TIP’을 통해 이번 사례를 포함한 피싱 공격 동향과 보안 권고문, 침해지표(IoC)를 제공하고 있다. 또한 V3 제품군과 샌드박스 기반 지능형 위협 대응 솔루션 ‘안랩 MDS’는 해당 악성 파일에 대한 탐지 기능을 지원한다.
#안랩 #피싱메일 #악성코드 #원격제어 #사이버보안 #연말피싱 #정보보안 #안랩TIP
