최근 국방분야 공무원, 공공기관 직원, 대학교수 등의 상용메일을 대상으로 해킹메일이 유포되고 있다.

해당 해킹메일은 올 상반기 이후 지속적으로 유포되고 있으며 포털社를 위장하여 ‘[긴급] 계정이 타인에게 노출되었습니다.’ 등의 내용으로 피해자의 열람을 유도한다.

피해자가 해당 메일을 열람할 경우 메일 본문에 포함된 스크립트를 통해 피해자의 행위정보(접속정보, 메일열람, 첨부파일 다운로드 여부 등)를 공격자의 C2서버로 전달하여 피해자의 패턴을 분석, 추가공격을 위한 데이터로 활용하는 것으로 보인다.

‘교육부사이버위협 정보공유시스템’ 에 따르면 해커는 해킹메일을 통해 대상자 이메일의 비밀번호를 절취한 후, 대상자 메일에 무단 접속하여 수신메일을 열람하고 피해자의 주소록을 추가해킹메일 유포에 악용 하는 것으로 추정된다고 발표하였다.

이에 정보통신원은 ‘Daum 고객센터’를 사칭, ‘사용자 계정 보안경고’ 및 ‘비밀번호 유출’ 관련 내용으로 위장한 메일 유입을 확인하여 피해예방을 위한 후속조치를 진행하고 있으며 식별된 공격자의 메일계정 및 IP에 대해 차단 정책을 적용하고 있다. 

[그림1] Daum 고객센터 사칭 해킹 메일​

해당 메일은 발신자 정보 조회시 하기 이미지와 같이 발신자 계정이 상이하게 표기되며 피해자가 메일본문의 [패스워드 찾기(변경)] 링크를 클릭하면 ‘파밍’ 사이트로 이동 피해자가 입력한 값이 노출되어 계정을 탈취하는 방식을 사용하는 것으로 확인하였다.

[표1] 해킹메일 발신자 계정​

이러한 조치에도 대학 구성원을 대상으로 지속적으로 해당 악성메일의 유입 시도가 탐지되고 있어 사용자들의 각별한 주의가 요구 되며 향후, 국방분야 관계자를 대상으로 해킹메일이 추가 유포될 가능성이 우려된다.

□ 해킹메일 피해 예방을 위한 조치사항

1. 상용메일 계정을 통한 업무자료 송/수신 금지

2. ​전자우편을 통해 송수신한 자료는 활용 후 메일함에서 즉시 삭제

3. ​첨부파일 다운로드 시 반드시 최신 백신으로 악성코드 검사

4. ​상용메일에 대한 로그인 2단계 인증 적용(모바일 인증 등)

5. ​알약 백신 및 운영체제 최신 보안 업데이트 유지 등