윤석열 대통령의 비상계엄 사태로 사회가 혼란스러운 틈을 타 개인·금융 정보를 탈취하려는 악성 메일이 대량 유포되고 있다. 해당 메일은 공공기관이나 유명 정치인의 계정을 사칭해 이용자의 의심을 피한 뒤 악성 코드 첨부 파일을 설치하도록 유도한다. 메일 속 첨부 파일은 계엄 관련 문서의 이름을 달고 있지만, PC나 스마트폰에 설치되면 키보드 입력 정보 탈취와 카메라 제어 등의 행위를 수행하는 악성 파일이어서 사용자의 각별한 주의가 필요하다.
12일 과학기술정보통신부와 한국인터넷진흥원(KISA)에 따르면 비상계엄 사태와 관련된 정보를 담고 있다고 속인 해킹 메일이 불특정 다수에게 배포되고 있다. 두 기관이 적발한 메일들은 언론 기사와 유사한 형태로 작성돼 해킹 메일임을 인지하기가 어렵고, ‘국군방첩사령부가 쓴 계엄 문건’ 이름이 붙여진 문서형 악성코드 유포 파일도 첨부돼 있다. 첨부 파일에 대해서는 ‘충암파’ 중 한 명인 여인형 전 방첩사령관의 지시로 작성된 계엄사령부와 합동수사본부 운영 참고 자료라고 설명하고 있다.
최근 이같은 방식으로 메일에 대용량 첨부 파일 설치 주소(URL)를 넣어 악성 코드를 유포하는 피싱 범죄가 기승을 부리고 있다. ‘계엄’ 등과 같이 사회적 이슈와 관련된 키워드를 넣거나 사람들의 관심도가 높은 세금 관련 내용으로 해킹 메일을 보내는 게 일반적이다. 발신자를 국세청으로 사칭한 뒤 전자세금계산서를 확인하라는 내용의 메일에 악성 코드를 첨부하는 식이다. 화면에 보여지는 국세청 로고와 포맷은 조작된 가짜 이미지로 세금을 납부하기 위해 결제 정보를 입력하는 순간 해당 정보는 해커에게 전송된다.
기업을 대상으로 하는 피싱 메일도 급증하는 추세다. 기업에 유포되는 메일은 업무 담당자가 확인하도록 ‘견적 요청, 프로젝트 순서’라는 제목을 달고 있으며, 특정 클라우드 그룹웨어가 제공하는 대용량 첨부파일 URL을 포함하고 있다. 이외에 유명 기업을 사칭한 저작권 위반 안내 메일로 악성 코드가 유포되기도 한다. 수신자가 메일 속 URL을 내려받는 순간 악성 코드가 설치되고, 설치 즉시 악성 스크립트를 통해 공격자의 명령어가 실행된다. 한국인터넷진흥원 관계자는 “다양한 상황을 악용한 사이버 공격은 꾸준히 있었지만 최근 그 방식이 더욱 교묘해지고 있다”면서 “사람들이 관심 있어 할만한 주제를 파악해 피싱 공격에 적극적으로 활용하고 있다”고 말했다.
나경연 기자 contest@kmib.co.kr