[비즈니스포스트] 피싱 이메일의 문구와 첨부파일 등이 점점 더 교묘하고 고도화되고 있는 것으로 조사됐다.

안랩은 올해 2분기에 수집한 피싱 이메일과 첨부파일을 유형별로 분석해 ‘2024년 2분기 피싱 이메일 통계 보고서’를 14일 발표했다.

피싱 이메일 공격자들이 가장 많이 활용한 키워드 유형은 ‘결제·구매’로 전체의 27.7%를 차지했다. 이어서 ‘배송·물류’ 키워드 유형이 20.6%, ‘공지·알림’ 키워드 유형이 8.7%로 2위와 3위를 차지했다. 

언급된 세 가지 키워드 유형 모두 업무·일상생활과 관련성이 높았다. 공격자는 이들 유형과 관련해 연관 키워드를 활용했으며, 때에 따라 유관 기업들을 사칭했다.

피싱 이메일 내 첨부파일은 ‘가짜 페이지’ 유형이 50%로 가장 많았다.

공격자는 HTML 등을 활용해 정상 페이지의 다양한 요소를 모방한 가짜 페이지를 제작했으며, 주로 로그인 페이지로 위장해 사용자의 개인 정보를 입력하도록 유도한 뒤 이를 자신의 서버로 전송했다.

이어서 감염PC에 추가 악성코드를 내려받는 ‘다운로더’가 13%, 정상적인 프로그램을 가장해 실행할 때 악성코드가 심어지는 ‘트로이목마’가 10%, 사용자 정보를 탈취하는 ‘인포스틸러’가 5%를 차지했다.
 
직전 분기에는 확인되지 않았던 ‘드로퍼(시스템에 악성코드를 설치하는 프로그램)’와 ‘애드웨어(설치 시 자동적으로 광고를 표시하는 프로그램)’도 일부 탐지됐다.

첨부파일 확장자 가운데 가장 많이 사용된 유형은 ‘스크립트 파일(50%)’로 확인됐다. 스크립트 파일은 가짜 페이지를 웹 브라우저에서 실행하기 위해 사용됐다.
 
이어서 다운로더, 인포스틸러 등 악성 실행 파일을 은닉하기 위한 ‘압축파일’이 29%. 사용자의 부주의를 이용하는 ‘문서’가 12%로 나타났다.
 
양하영 안랩 시큐리티 인텔리전스 센터(ASEC) 실장은 “사용자의 관심을 끌 수 있는 키워드를 활용해 피싱 메일을 유포하는 공격이 계속해서 발생하고 있다”며 “사용자의 주의와 상황에 대한 사전 숙지가 필요하다”고 말했다. 이동현 기자