최근 악성 웹사이트 접속을 유도하는 지능형 피싱 문서가 다양한 형태로 발견되고 있다. 

안랩은 9일 사람과 로봇을 구별하기 위한 인증 수단인 ‘캡챠(CAPTCHA)’를 위장한 이미지로 악성 웹사이트 접속을 유도하는 ‘피싱 PDF’ 문서가 발견됐다고 경고했다. 

지난달에는 구매 발주 내용을 위장해 포털 계정정보를 훔치려는 피싱 메일도 발견됐다. 이외에도 공적 조서 송부, 동영상 편집본 확인 요청, 학술 행사 안내 등 업무 관련 메일을 발송했던 사용자를 대상으로 악성 엑셀 파일이 담긴 압축파일을 첨부해 회신 메일을 보냈다. 메일 회신에 정보 공개를 협박하거나 업무 요청을 기재하는 등 사용자가 첨부파일을 실행하도록 유도하는 피싱 수법이 다양하게 등장했다.

이번에 발견된 가짜 캡챠 이미지는 이용자가 실제 사람이 아니라 봇(Bot) 등에 의한 비정상적 이용자인지 판별하기 위해 사용하는 인증 기술인 캡챠를 모방한 것이다. 

안피싱 PDF 문서의 첫 페이지에는 악성 링크로 연결되는 캡챠 위장 이미지가 포함돼 있다. 이어지는 페이지에는 의미 없는 내용의 문자가 무작위로 적혀있다.

만약 사용자가 속아 캡챠 인증 이미지를 클릭하면 사용자의 접속 환경(IP, 접속 국가 등)에 따라 공격자가 미리 설정해놓은 악성 웹사이트로 자동 연결된다. 연결되는 악성 웹사이트는 사용자 PC에 ‘트로이목마 악성코드(Trojan)’ 다운로드, 악성 크롬 확장프로그램 설치 등을 유도하는 웹사이트부터 도박, 불법 성인물 사이트, 광고 웹사이트까지 다양하다.

구매 발주 내용을 위장해 포털 계정정보 탈취를 시도하는 피싱 메일 사례도 교묘하다. 먼저 공격자는 미리 탈취한 메일 계정으로 ‘구매발주: PO-XXX(숫자)’라는 제목의 메일을 기업, 교육기관 등에 무작위로 발송했다. 해당 메일에는 구매 발주서로 위장한 악성 파일(파일명: 구매발주(PO-XXX).html)을 첨부했다. 메일 본문에는 ‘다음과 같이 발주합니다’, ‘자세한 내용은 첨부파일을 확인해주세요’라는 내용을 적어 첨부파일 실행을 유도했다.

사용자가 무심코 이 첨부파일을 실행하면 실제 유명 포털을 사칭해 제작된 가짜 로그인 웹페이지가 열린다. 만약 사용자가 속아 로그인 아이디와 비밀번호를 입력하면 이 계정정보는 공격자에게 바로 전송된다. 공격자는 탈취한 계정정보를 메신저 피싱, 스팸메일 발송 등 추가적인 사이버 범죄에 사용할 수 있다.

공적 조서 송부, 동영상 편집본 확인 요청, 학술 행사 안내 등 주제의 업무 관련 메일을 발송한 사용자를 타겟팅해 악성 엑셀 파일이 담긴 압축파일을 첨부해 회신 메일을 보내는 경우 회사에서 메일을 사용하는 경우 무심코 당할수 있는 경우다. 특히 공격자는 회신에 정보 공개 협박 및 업무 요청을 기재해 사용자의 첨부파일 실행을 유도했다.

안랩측은 "현재 V3는 해당 피싱 PDF 문서 파일을 진단 및 실행 차단하고 있다. 피해를 예방하기 위해서는 출처 불분명 파일 실행 금지하고 백신 최신 버전 유지 및 실시간 감시 기능 실행 등 보안 수칙을 지켜야 한다"고 조언했다.

안랩 분석팀 장서준 주임연구원은 “최근들어 업무관련 각종 문서 파일이 문서의 내용만 조금씩 바꾸면서 퍼지고 있는 것을 확인했다”며 “사용자는 출처가 불분명한 파일이라면 호기심이 생기더라도 실행하지 말아야 한다”고 당부했다.