국세청, 공정거래위원회 등 정부기관을 사칭한 악성 메일 유포가 늘고 있다. 이는 일반 개인뿐만 아니라 기업에도 전파되고 있으며, 바이러스가 담긴 해당 메일을 열람해 금전적 피해가 발생하거나 기업의 중요문서가 무용지물이 되는 등의 사례도 늘고 있다.


코로나19 악용한 사이버 공격도
최근에는 마스크 사용을 권고하는 문서처럼 위장하는 등 코로나19와 관련된 악성 이메일도 등장하고 있다.

금융보안원은 지난 2월부터 4월까지 수집한 주요 APT(지능형 지속 보안 위협) 위협그룹의 악성코드와 금융보안관제센터에서 탐지한 코로나19 관련 이메일 680만 여 건을 분석한 결과 약 7만 3,000여 건의 악성 의심메일을 발견했다고 최근 밝혔다.

악성 의심메일의 90%는 마스크 판매 관련 피싱사이트로 접속을 유도했으며, 이외 WHO(세계보건기구)를 사칭한 가상화폐 기부 요청 등 금융사기, 첨부파일을 이용하는 악성코드 유포 공격 등으로 확인됐다.

악성 의심메일 발송 IP분석 결과에서는 총 3,827개 IP, 107개 국가에서 메일을 발송한 것으로 나타났으며, 발송량이 많은 국가로는 터키(62%), 미국(10%) 순으로 분석됐다.

코로나19 악용한 사이버 공격은 대부분 메일 등을 이용한 피싱 공격으로, 사용자의 행위에 따라 악성코드 유포, 피싱사이트 유도, 금융사기, 악성앱 유포를 통한 모바일 공격으로 유형으로 나타났다.

금융보안원 김영기 원장은 “비대면의 언택트 세상 속에서 초연결 시대가 더욱 가속화되고, 사이버 위협이 더욱 지능‧고도화 되는 등 향후 코로나19 뿐만 아니라 새로운 사이버 위협에 대해서도 금융권이 선제적으로 대응하여 피해를 예방할 수 있도록 사이버 위협 탐지 및 분석‧정보 공유체계를 더욱 강화해 나갈 것”이라고 밝혔다.


국가기관 사칭해 “조사 받으라”

행정기관의 조사를 받으라는 거짓 내용을 전파해 랜섬웨어 등을 전파하는 악성 메일도 기승을 부리고 있다.

해당 메일은 ‘전자상거래 위반행위 조사통지서’라는 제목으로 가상의 인물과 조사통지 날짜 등을 변경해 가며 공정거래위원회의 조사통지 공문인 것처럼 가장하고 있다. 공정위는 해당 메일에 대해 “해킹메일을 열람하지 말고 바로 삭제할 것”을 당부하기도 했다.

메일의 첨부파일을 열람하게 되면 랜섬웨어에 감염돼 금전적 피해가 발생할 수 있어 특히 주의해야 한다.

참고로 공정위는 법 위반행위 조사와 관련된 조사공문을 이메일로 발송하지 않으며, 조사현장에서 공무원증 제시와 함께 서면으로 전달한다.

공정위 관계자는 “정부기관 사칭 메일이 의심되는 경우에는 경찰청 사이버안전국(국번없이 182)에 신고하거나 한국인터넷진흥원 침해대응센터(국번없이 118)에 상담 등 문의할 수 있다”며 “해킹메일 피해를 방지하기 위해서는 평소 컴퓨터 백신프로그램 등을 설치해 점검하고 발송자의 메일주소가 정부기관이 사용하는 공직자용 메일주소인지도 살펴보는 것이 필요하다”고 당부했다.

이 밖에도 이스트시큐리티는 ‘국세청 전자세금계산서 발급 메일 안내’로 위장한 악성 이메일이 국내 공공기관과 기업 종사자를 대상으로 유포되고 있어 각별한 주의가 필요하다고 지난 5월 27일 밝혔다.

이번 공격은 기존 국세청 홈택스 사칭 공격에서 한 단계 진화해 발신지 주소까지 실제 홈택스 도메인처럼 조작한 것이 특징이다. 이메일 발신자 주소가 실제 도메인으로 위장돼 있을 경우 메일 수신자가 이메일의 악성 여부를 판단하기 어렵기 때문에 공격에 감염될 가능성이 높다.

이메일에 첨부된 압축 파일은 ‘.pdf.zip’와 같이 이중 확장자를 사용하고 있다. 사용자 PC의 탐색기 폴더 옵션 설정이 ‘확장자 숨김 처리’가 돼 있을 경우 실제 PDF 파일처럼 보여 의심 없이 열어보도록 유도한다.

사용자가 해당 압축파일을 풀고 내부 실행 파일을 실행할 경우 ‘폼북(Formbook)’ 유형의 악성코드에 감염돼 기업 내부의 여러 해킹 피해로 이어질 수 있다.

이스트시큐리티 시큐리티대응센터(ESRC)는 최근 이와 유사한 위협 사례가 다수 발견됐다고 전했다. 홈택스 사칭뿐만 아니라 국내 시중은행의 결제 전표 등을 위장한 사례도 확인했다.


무역사기 유형 1위 ‘이메일 해킹’
서로 거래하는 A와 B 중 한 곳의 이메일을 해킹 또는 변조해 대금을 탈취하는 무역사기 피해도 발생하고 있다.

코트라의 ‘2018/2019 무역사기 발생 현황 및 대응방안' 보고서에 따르면 2015년부터 2019년 8월까지 해외무역관에 접수된 무역사기 총 358건 중 이메일 무역사기 유형은 약 28%(99건)로 최대 비중을 차지했다.

기존의 이메일 무역사기는 이메일 유사 변조 유형이 일반적이었다. 해커가 철자 간 순서를 변경하거나 숫자·첨자를 추가해 수신자의 눈을 속이는 방식이다. 예를 들어 이메일 주소가 123이면, 132 등의 식으로 교묘하게 순서를 꾸는 등의 방법으로 실제 거래처의 이메일 주소와 비슷하게 만들어 혼동을 준다.

특히 거래처와의 연락이 잦아지는 과정에서 경계심이 풀어져 이메일 주소 확인에는 소홀해지는 점을 악용하는 것이다. 하지만 사회 전반적으로 정보보안에 대한 경각심이 높아질수록 이메일 유사 변조 유형의 성공 확률은 낮아진다고 볼 수 있다. 이때 해커는 기업의 이메일 계정 해킹을 통해 로그인 정보 자체를 탈취해 거래처의 의심을 차단하는 수법을 쓴다.

또 다른 유형은 공격 대상 기업의 이메일 로그인 정보를 탈취한 후 결제서류 내 계좌정보를 변조해 거래처에 보내는 수법이다. 메일을 수신하는 거래처 입장에서는 사업파트너의 메일주소가 기존과 동일하므로 의심을 쉽게 풀게 된다.

이러한 유형의 해커는 특정 기업의 영업비밀이 들어있는 이메일을 탈취해 오랜 기간 기업과 거래처가 주고받는 내용을 관찰한다. 그리고 거래가 성사되고 인보이스 등 대금결제 관련 서류가 오가는 시기에 적극 개입해 거래처에 계좌정보가 바뀌었다는 메일을 보낸 후 기록을 삭제한다.

또한 거래처 입장에서는 상대방의 이메일 계정이 동일하다 보니 의심을 상대적으로 쉽게 풀게 되는 것이다.

지난 4월 코트라 함부르크 무역관에는 국내 중소기업 A사의 다급한 지원요청이 접수되기도 했다.

지난 2월 한국에 정박 중이던 독일 선사 소속 선박에 기자재와 유지보수 서비스를 제공한 후 총 11건의 인보이스에 대한 약 2만 7,000달러(한화 약 3,300만 원)의 대금을 지급받지 못했다는 내용이었다.

해커가 국내기업 A사의 이메일 계정을 해킹해 인보이스 내 계좌정보를 위조했고 독일 선사는 3월 중순 해커가 바꿔치기한 홍콩 계좌로 이미 대금을 송금한 상황이었다. 독일 선사는 계좌변경을 처음 통보받았을 때 이상한 낌새를 느꼈지만 A사의 이메일 주소는 동일했기에 의심의 끈을 놓았던 것이다.

이와 관련 사이버보안 업체의 한 관계자는 “국세청, 경찰청, 금융감독원 등 국가기관을 사칭한 악성 이메일이 기승을 부리고 있다”며 “코로나19로 많은 중소기업이 어려움을 겪고 있는 만큼 이메일 외 다른 채널을 통해 연락하거나, 수상한 파일이 첨부돼 있을 경우 해당 기관이나 기업 등에 확인 전화를 하는 등 철저한 대비가 필요하다”고 당부했다.