[디지털데일리 김보민기자] 이메일을 악용한 사이버 공격이 이어지고 있다. 최근에는 클라우드 기반 그룹웨어의 대용량 첨부파일 인터넷주소(URL)를 악용한 사례가 포착돼 주의가 요구된다.

안랩(대표 강석균)은 업무 관련 메일로 위장해 악성코드를 유포하는 사례를 발견했다고 21일 밝혔다. 이어 사용자가 업무와 일상생활에서 사용하는 그룹웨어 기능을 악용하거나, 불안감을 조성하는 문구를 기재해 보내고 있어 주의가 필요하다고 당부했다.

안랩에 따르면 최근 공격자는 '견적 요청·프로젝트 순서'라는 제목의 메일을 불특정 다수 사용자에게 발송했다. 메일에는 특정 클라우드 그룹웨어가 제공하는 대용량 첨부파일 URL이 첨부돼 있었다. 본문에는 '이상 없으면 서명 후 회신해달라'는 내용이 담겨, 첨부파일 URL을 누르도록 유도했다.

사용자가 URL을 누르면, 정보탈취형(인포스틸러) 악성코드가 함께 다운로드 된다. 이 악성코드는 사용자 PC 내 정보를 수집해 공격자 서버로 전송된다.

사용자가 평소 사용하는 그룹웨어를 필두로 신뢰를 얻은 뒤, 공격을 가하는 방식이다. 특히 인포스틸러 악성코드 공격에 사용되는 공격 기법이다. 의심 없이 위협을 당할 시에는 개인 데이터나 금융정보 등이 탈취되거나 추적 당할 수 있어 주의가 필요하다.

안랩은 저작권 위반 안내 메일로 위장해 악성코드를 유포하는 사례도 포착했다고 밝혔다. 메일 본문에는 '(사용자가 소속된) 조직의 웹사이트가 저작권을 침해하는 콘텐츠를 포함하고 있어 즉시 조치가 필요하다"는 내용을 담고 있었다. 또한 '저작권 침해 콘텐츠를 확인하십시오'라는 문구에 URL을 삽입해 사용자가 이를 누르도록 유도했다.

메일 내 문구를 클릭하면 실행파일 등이 포함된 압축파일이 다운로드 된다. 실행파일의 경우, 파일명에 '.pdf'를 삽입한 뒤 공백을 길게 입력해 사용자가 해당 파일의 실제 확장자인 '.exe'를 인식하지 못하게 제작됐다. 이를 실행하면 악성파일이 자동 실행돼 악성코드를 내려받게 된다.

공격자는 감염된 PC에서 시스템 및 계정 정보를 탈취하고, 키보드 입력값을 모니터링할 수 있다. 웹캠에도 접근할 수 있어 추가적인 악성 행위도 수행할 수 있다.

이번 사례를 분석한 장서준 안랩 분석팀 선임은 "다양한 업무 환경 및 상황을 노린 사이버 공격은 꾸준히 있었지만, 최근 방식이 교묘하고 정교해지고 있다"고 진단했다. 이어 "조직의 계정 정보가 유출될 경우 또 다른 경로에서 유출된 조직 관련 정보와 결합되어 추가 피해로 이어질 수 있기 때문에 개인과 조직의 주의가 필요하다"고 강조했다.