‘RE:평가지표 자료’ 메일 클릭했더니…진화하는 스팸메일 주의보

    입력 : 2017.06.19 15:22 | 수정 : 2017.06.19 15:53

    /지란지교 시큐리티 제공

    #1. 지난 2월 대학 교직원 A씨는 업무용 이메일 계정으로 ‘RE: 평가지표 자료 송부’라는 제목의 메일을 받았다. 업무 관련 메일인 줄 알고 별다른 의심 없이 열었더니, 본문에 ‘SCAN_20170220.pdf’라는 파일명이 ‘하이퍼링크(클릭시 연결된 사이트로 이동하는 문구)’로 표시돼 있었다. 첨부된 문서라고 생각해 클릭하자, 엉뚱한 대출 알선 홈페이지로 연결돼, 그제서야 속았다는 걸 알았다.

    #2. 법무법인에서 근무하는 사무장 B씨는 최근 회사 메일 주소로 법률 자문 요청을 받았다. 메일 제목은 ‘법률 상담 문의드립니다’였다. 메일 발송자는 “시간이 지체될수록 손해가 더 큰 상황이라 차후 소요되는 비용은 전혀 개의치 않는다”며 “발생한 사건 개요나 사진은 첨부 파일에서 확인 가능하다”고 적었다. 첨부된 압축 파일의 파일 형식이 생소해 의심이 든 B씨는 이 메일을 인터넷 보안 업체에 전달해 검사를 의뢰했다. 보안 업체 측은 “해당 압축 파일을 풀면 사용자 PC에 악성코드가 유포된다”는 답을 보내왔다.

    최근 랜섬웨어(사용자의 PC를 잠근 뒤 이를 풀어주는 대가로 돈을 요구하는 악성 프로그램)에 당한 서버업체가 해커에게 거액의 돈을 주기로 한 사례처럼 기업과 개인을 노리는 사이버범죄가 갈수록 고도화하고 있다.

    해커들의 주요 공격 방식은 ‘업무용 메일’을 가장한 스팸·바이러스 등 불법 메일인 경우가 많다. 직장인들의 회사 메일 계정을 노리고 접근한다. 누가 봐도 뻔한 광고성 제목은 대부분 회사 메일 시스템에서 걸러지거나 메일 사용자가 클릭하지 않기 때문에, 업무와 관련 있을 것 같은 위장책(僞裝策)을 쓰는 것이다.

    정부 부처 공무원의 실명을 사칭해 메일을 보내는 경우도 있다. 인터넷 보안 전문가들은 “메일 유포자와 수신자 사이에서 클릭하느냐 마느냐를 두고 벌어지는 ‘클릭 기(氣)싸움’에서 ‘업무’에 민감한 직장인들이 진지한 제목을 달고 진화한 가짜 메일에 번번이 허를 찔리고 있다”고 말했다.

    인터넷 보안업체 '지란지교 시큐리티'에 따르면, 이 업체 고객사 중 200개 회사의 전체 수신 메일 중 스팸·바이러스 메일의 비율은 지난 3년간 10.16% 포인트 감소했다./지란지교 시큐리티 제공


    ◇불법 메일도 量보단 質… 진지한 제목에 ‘아차’

    최근 수년간 불법 메일 총량은 줄어드는 추세다. 미래창조과학부 산하 한국인터넷진흥원이 지난 3월 발표한 ‘스팸 유통현황’ 보고서에 따르면 주요 통신사의 감지 시스템에 걸린 스팸 메일 양이 최근 6개월 새 1609만 건에서 695만건으로 56.8%나 준 것으로 나타난다. 인터넷 보안 업체 ‘지란지교 시큐리티’의 고객사 200곳이 올 1분기에 수신한 전체 메일 중 스팸·바이러스 메일 비율은 52.1%로, 7년 전(2010년 1분기·81.7%)보다 30%포인트 가까이 줄어들기도 했다.

    전문가들은 “이젠 불법 메일도 양(量)보단 질(質)로 승부를 보는 시대”라고 말한다. 어차피 걸러질 저질 메일을 무의미하게 살포하느니, 좀 더 ‘적중률’이 높은 가짜 업무 메일을 공들여 만든다는 것이다.

    구매력 있는 직장인들의 업무 메일 계정은 메일 살포자들에게 매력적인 ‘먹이’다. 김성한 인터넷진흥원 스팸조사팀장은 “최근 ‘○○예술대학 행사에 초청합니다’ 같은 공지(公知)성 메일 제목을 달고 정작 내용은 도박·성매매 광고인 메일들이 직장인들에게 많이 살포되고 있다”고 말했다. 정부 부처 사무관의 실명을 달고 ‘한국항공우주연구원 연말정산 관련’, ‘북한 핵실험 관련 설문 자료’ 등 제목으로 오는 가짜 메일도 많다.

    /지란지교 시큐리티 제공

    처음부터 특정 회사를 점찍어 공략하는 ‘저격형(型)’ 가짜 업무 메일은 특히 걸러내기 어렵다고 한다. 예를 들어 A회사를 노리고 그 회사의 거래처인 B회사의 메일 주소와 유사한 메일 주소로 A회사 직원에게 메일을 보내는 것이다. 메일 제목에 B회사의 이름을 포함시켜 두 회사 간 거래 내역이나 송장(送狀) 관련 내용을 보내면 메일 이용자가 속기 쉽다.

    지난 4월 LG화학이 가짜 메일에 속아 약 240억원을 엉뚱한 계좌로 지급한 것도 이와 유사한 수법에 당한 것이었다. 한 인터넷 보안업체 기술팀장은 “메일을 읽을 때는 ‘발신자 주소’가 원래 거래처로 뜨다가, 이 메일에 답장을 보낼 때는 ‘착신자 주소’를 살짝 바꾸는 가짜 메일까지 등장했다”며 “범죄자들은 이런 치밀한 ‘타겟팅(targeting)’을 위해 1년 넘게 준비하기도 한다”고 말했다.

    ◇회사들의 방어책은 ‘가짜 가짜 메일’

    회사들은 이런 가짜 업무 메일에 대한 대응책으로 이른바 ‘함정 메일’을 고안해 냈다. 자사 직원에게 그럴듯한 가짜 업무 메일을 보낸 뒤, 해당 직원이 이에 속아 메일 안의 링크를 클릭하거나 첨부 파일을 다운받으면 그 직원을 ‘메일 교육 이수 대상자’에 포함시키는 등 불이익을 주는 방법이다. 일종의 ‘가짜의 가짜’를 만들어 면역력을 키우려는 것이다. 한 외국계 기업 직원 박모(30)씨는 “‘○월 출장비 정산 관련’이란 제목의 메일이 와 내용 중의 링크를 타고 들어가니 ‘You’ve been phished(당신은 피싱에 걸렸습니다)’라는 메시지가 나타나면서 사내 교육 대상자가 됐다”고 말했다. 다른 회사원은 “‘가짜 메일’에다 이런 ‘가짜 가짜 메일’까지 피하려니 노이로제에 걸릴 지경”이라고 했다.

    /지란지교 시큐리티 제공

    임종인 고려대 정보대학원 교수는 “불법 메일의 총량은 줄고 있지만, 그와 연계된 해킹이나 ‘랜섬웨어’ 기술은 고도화돼 전체 피해 규모는 오히려 커지고 있다”며 “특히 최근 ‘워너크라이 랜섬웨어’ 사건에서 피해 업체가 해커들에게 실제 돈을 지불하는 선례를 남기면서, 앞으로 외국의 고단수 해커들이 교묘한 업무 사칭 메일로 한국의 직장인들을 공략할 가능성이 커졌다”고 말했다.
    이전 기사 다음 기사
    기사 목록 맨 위로