이메일을 활용해 랜섬웨어를 감염시키는 이메일 피싱 공격이 기승을 부리고 있다. 운영체제 업데이트와 백신을 활용해 점검하고, 구체적인 내용이 없고 링크 클릭과 첨부파일 다운로드를 의도적으로 유도하는 메일은 삭제해야 한다. 모르는 사람이나 신원이 확실치 않은 사람이 보낸 이메일은 열어보지 않도록 주의해야 한다.

“IT기자도 당할 뻔 했다”

기자는 언제나 출근하자마자 이메일부터 확인했다. ‘mtn.co.kr’ 이름으로 공지 이메일이 들어와 있었다. 이메일로 본 계정 kimthin@mtn.co.kr과 부 계정 kimthin@techm.kr을 쓰고 있는데, 본 계정 사용이 중단됐다는 내용이었다.

순간 많은 생각이 들었다. 혹시 회사 시스템이 해커에 의해 털리지 않았나 의심되기도 했다. 계정 생성과 삭제를 진행하다 디지털기획부(전산 담당 부서)에서 실수를 했는지도 궁금했다. 동료기자들에게 물어봤다. 이메일 계정과 관련해 특이사항은 없다고 답변을 들었다. 게다가 본 계정으로 이메일을 작성해 보내는데 문제가 없었다. 하지만 혹시 모른다는 생각에 이메일을 열어봤다.

‘친애하는 kimthin/적절한 확인이 완료 될 때까지 메일을 보내고받을 수 없습니다./연결 해제를 피하려면 아래 링크를 따라 가야합니다./확인 절차를 보려면 여기를 클릭하십시오./문안 인사/메일 고객 서비스 2019  mtn.co.kr’

첫 문장부터 뭔가 이상함을 눈치 챘다. 회사에서 나에게 뭔가를 공지할 때 계정 아이디를 적지 않는다. 그리고 엄연히 담당부서 이름이 있는데 ‘메일 고객 서비스 2019’라는 이름을 쓰는 것도 뭔가 어색했다. 결정적으로 링크를 걸고, 클릭을 유도했다. 이메일을 활용한 피싱공격이 확실했다.

안도의 한숨을 내쉼과 동시에 불안감이 엄습해왔다. 메일 제목을 본 순간, 계정에 심각한 문제가 생긴 것이 아니냐는 생각이 머릿속을 지배했다. 문장이 어색해 눈치를 챘지만, 내용이 조금 더 정교했더라면 링크를 클릭했을 것이다. 일과 시작 전이라 고민할 시간이 많아 냉정하게 판단했지만 정신없이 바쁠 때 봤다면 실수로라도 클릭했을지 모른다.

최근에 기자를 채용한다는 내부방침이 결정돼 채용공고를 올린 뒤, 이메일 편지함을 보니 입사지원을 빙자한 피싱 메일이 도착해 있었다. 김진주 라는 이름으로 무차별적으로 뿌려진 것으로 추정된다.

같은 수법의 공격으로 한 언론사 담당자는 실제 랜섬웨어에 감염되기도 했다. 회사 부장이 이력서를 다운받아 열어달라는 부탁을 받은 부하 직원의 컴퓨터가 파일을 열자마자 감염됐다. 컴퓨터 내 저장된 각종 회계자료를 복구할 수 없어 결국 초기화하고, 문서를 다시 하나 하나 입력해야 했다.

주변 기자와 일반 회사원 친구들에게 문자메시지와 전화로 물어봤다. 이메일 피싱 공격 유형을 파악하고 싶었다. 말을 걸자마자 다양한 사례가 속속 캡처 화면으로 도착했다.

출판사에 다니는 친구에게는 저작권 위반 관련 내용으로 피싱 공격 메일이 왔다. 메일은 작가를 사칭해 '현재 사용하는 이미지들 중 자신이 제작한 것이 있다'면서 '모르고 사용한 것 같은데 사용을 금하길 원하며, 원본과 사용 중인 이미지 정리해 파일로 첨부했다'고 적혀 있었다.

심지어 진짜 개인 작가가 쓴 것처럼 '작은 것 같아도 개인 작가로 활동하는 저한테는 신경을 써야 하는 부분'이라며 동정심을 호소하기까지 한다.

최근에는 ‘견적서를 요청한다’는 제목으로 피싱 메일이 많이 돌고 있는 것으로 파악됐다. 구체적인 내용을 쓰지 않고 첨부파일을 확인하도록 유도한다. 사업을 수주하거나 거래하는 업체 담당자라면 속을 수 있을 법한 수법이다.

APT 수법 갈수록 정밀…첨부파일·링크 클릭 주의해야

보안업계에서는 이런 피싱 공격을 지능형 지속공격(APT, Advanced Persistent Threat)이라고 부른다.

APT는 특정 조직 내부 직원이나 일반인 사용자 PC와 스마트폰을 장악한 뒤, 내부 서버나 데이터베이스에 접근해 정보를 획득하는 방식이다. 정보만 빼가는 경우도 있고, 시스템을 무력화시키거나 랜섬웨어를 감염시켜 금전을 갈취하기도 한다.

고전적인 수법으로는 한국은행과 금융감독원, 검찰청 같은 국가기관 사칭했다. 일반인들은 금융 사기나 범죄행위에 연루될 일이 적기도 하고, 피싱을 위해 꾸미는 양식이나 수법이 어설픈 경우도 많아 상대적으로 피해가 적었다. 각 기관별로 피싱주의보를 발령하고 사전에 알리는 노력도 진행해 일반인들이 경각심을 가지고 있다.

하지만 최근에는 출판사나 언론사에 저작권 관련 문제를 거론한다거나, 사업을 수주하는 업체에게 견적서를 요청한다는 내용의 메일을 보내는 방식으로 일반인에 친근한 방식으로 발전했다. 마치 지금 하고 있는 업무와 연관된 것처럼 그럴싸하게 꾸며 성공률을 높인다.

사람 실수를 유도하기에 백신도 무력화될 수 있다. 만일 사용자가 피싱에 속아 노트북에서 링크를 클릭하거나 첨부파일을 연다면, 권한을 가진 사람이 직접 악성코드를 실행하는 것과 마찬가지 결과를 가져온다.

이런 문제를 막으려고 가상화 기술을 활용한 컨테이너 기술이 도입되기도 한다.

회사 컴퓨터로 업무를 볼 때, 가상화된 격리 공간(컨테이너)에서 모든 프로세스를 실행한다. 사용자가 쓰는 컴퓨터에 파일이 구동되거나 다운로드받지 않는다.

예를 들어 손님이 찾아왔을 때 중요한 자료가 있는 집 안으로 들여보내는 것이 아니라 별관으로 안내하고 거기서만 업무를 보도록 하는 것이다. 보안업체 시만텍은 이런 기술을 ‘웹 위협 격리’라는 이름으로 제공한다. 다른 보안업체들도 관제 업무에서 가상화 기술을 이용하는 것으로 알려졌다.

개인 사용자가 피싱 공격에 낚이지 않으려면 보안의식을 가져야 한다. 윈도 같은 운영체제를 꾸준히 업데이트하고, 백신 실시간 감시를 끄지 않고 늘 사용해야 한다.

또 모르는 사람이 보내거나 업무와 무관한 내용의 이메일이면 되도록 열람하지 않고 삭제하는 것이 좋다.

특히 회사업무나 사업처럼 공적인 일을 할 때는 대부분 이메일에 회사나 개인 연락처를 동봉한다. 구체적인 연락처를 적지 않았다면 피싱 메일일 확률이 높다. 아울러 메일을 보낸 주소와 답신을 받는 주소가 다를 경우 문제 소지가 있다. 해커가 명의를 도용하거나 가짜 계정을 이용할 수도 있기 때문이다.

만일 이메일을 열어도 첨부파일을 다운로드하거나 링크를 함부로 클릭해 이동하지 않도록 주의할 필요가 있다.

보안업계 관계자는 “피싱 메일은 특정인을 노리고 접근하는 경우도 있지만 대부분이 불특정 다수를 노려 제작되기에 일반인들이 조금만 더 주의하면 구분해 낼 수 있다”면서 “지속적으로 보안 업데이트를 진행하고, 첨부파일과 링크를 함부로 클릭하지 않는 습관을 길러야 한다”고 말했다.

김태환 테크M 기자  kimthin@techm.kr