안랩이 최근 저작권 침해 통지를 사칭한 피싱 메일을 통해 정보 탈취형 악성코드(인포스틸러)가 유포되고 있다며 사용자 주의를 당부했다.

이번 공격은 수신자의 심리를 자극하는 사회공학 기법과 교묘하게 위장된 악성코드가 결합된 형태로, 특히 개인 사용자뿐 아니라 기업 사용자를 대상으로 한 정교한 수법이 특징이다.

공격자는 국내의 실제 법무법인을 사칭해 “귀하의 저작권 침해 행위에 대해 공식 통지를 드린다”는 내용의 이메일을 발송했다. 해당 메일에는 ‘경찰로부터 수집된 문서.pdf’라는 문구에 URL을 숨겨 실제 첨부파일처럼 위장하고, “침해 증거 자료를 첨부한다”는 문장을 넣어 수신자의 클릭을 유도했다. 여기에 “해당 자료는 법적 분쟁에서 증거로 사용된다”는 설명을 더해 심리적 압박감을 조성했다.

이용자가 첨부파일처럼 보이는 링크를 클릭할 경우, ‘.exe’ 실행 파일과 DLL 파일이 포함된 압축파일(.zip)이 다운로드된다. 특히 공격자는 실행 파일의 이름에 ‘.pdf’를 삽입해 문서파일로 착각하게 만드는 등 확장자를 위장했다.

이러한 방식으로 사용자가 실행 파일을 열면, 같은 경로의 악성 DLL 파일이 함께 작동하며 인포스틸러가 실행된다. 감염된 PC에서는 계정 정보, 금융 정보, 키보드 입력, 화면 캡처 등의 정보가 수집돼 공격자 서버로 전송된다.

안랩은 피해를 막기 위해 △출처가 불분명한 메일의 첨부파일 및 링크 실행 금지 △URL 클릭 시 공식 웹사이트 주소와 비교 △운영체제 및 브라우저 최신 보안 업데이트 적용 △백신 실시간 감시 기능 활성화 △계정별 개별 비밀번호 사용 등 기본적인 보안 수칙을 철저히 지킬 것을 당부했다.

안랩 분석팀 이가영 선임연구원은 “사용자의 불안 심리를 악용한 피싱 공격이 꾸준히 발견되고 있다”며 “이메일 수신 시 발신자 정보와 내용을 반드시 재확인하고, 조금이라도 이상할 경우 첨부파일이나 링크 클릭을 자제하는 습관이 중요하다”고 강조했다.

한편, 안랩은 위협 인텔리전스 플랫폼 ‘안랩 TIP’을 통해 이번 사례를 비롯한 최신 피싱 동향, 보안 권고문, 침해 지표 등을 제공하고 있으며, V3 제품군 및 APT 대응 솔루션 ‘안랩 MDS’에서 관련 URL에 대한 탐지 및 차단 기능도 지원하고 있다.