업무 관련 내용을 위장해 사용자 '마이크로소프트 365(MS 365)' 계정을 탈취하는 사례가 잇따르고 있어 사용자들의 주의가 요구된다. MS 365는 온라인 구독 기반으로 마이크로소프트의 다양한 오피스 애플리케이션(앱)을 패키지로 이용할 수 있는 서비스다.

25일 안랩은 부재중 전화 알림, 팩신 수신 확인 등 업무 관련 내용을 위장한 피싱 메일로 사용자 MS 365 계정을 탈취하는 공격 사례를 발견했다고 밝혔다. 

부재중 전화 알림 위장 사례에서 공격자는 '이 메일은 ○○○(수신자 이메일의 도메인 부분)에서 발송됐습니다(This E-mail was sent from ○○○)'라는 제목의 메일을 보냈다. 메일 본문에는 부재중에 녹음된 음성 메시지를 첨부했다는 내용과 함께 '다시 듣기'를 의미하는 'playback_38629.html'이라는 파일이 첨부돼 있다. 사용자가 이 첨부파일을 열면 MS 365 로그인 페이지와 유사하게 제작된 피싱 사이트로 연결된다.

팩스 수신 확인으로 위장한 메일의 경우, 공격자는 가짜 문서번호 및 '검토해달라(for review)'라는 제목의 메일을 보낸 것으로 분석됐다. 본문에는 '스캐너에서 성공적으로 팩스를 수신했다'는 메시지를 적었으며, 피싱 사이트로 연결되는 파일을 첨부했다. 사용자가 첨부파일을 열게되면 피싱 사이트로 연결돼 MS 365 계정 비밀번호 입력을 유도한다. 

두 공격에 사용된 로그인 위장 피싱 사이트에는 이미 사용자 이메일 주소가 입력된 것처럼 꾸며져 있어 사용자가 의심 없이 비밀번호를 입력하도록 구성됐다. 

사용자가 비밀번호를 입력하게 되면 즉시 공격자에게 전송되며, 해당 계정과 연결된 프로그램 내 정보까지 탈취당하는 등 추가 피해로 이어지는 것으로 나타났다.

피싱으로 인한 피해를 줄이기 위해서는 ▲이메일 발신자 등 출처 확인 ▲출처가 의심스러운 메일 내 첨부파일 및 URL 실행 금지 ▲사이트 별로 다른 계정 사용 및 비밀번호 주기적 변경 ▲V3 등 백신 프로그램 최신버전 유지  ▲피싱 사이트 차단 기능 활성화 ▲운영체제(OS)·인터넷 브라우저·오피스 ·소프트웨어(SW) 등 프로그램의 최신버전 유지 및 보안 패치 적용 등 보안수칙을 준수해야 한다.

김성경 안랩 분석팀 연구원은 "사용자가 피싱 사이트에 속아 조직에서 사용 중인 계정정보를 입력할 경우 개인정보 뿐 아니라 조직 정보까지 탈취될 위험이 있다"며 "피해 예방을 위해 의심스러운 메일 속 첨부파일이나 URL을 실행하지 않아야 한다"고 말했다.

김가은 기자 7rsilver@techm.kr