연봉 통지서 등 위장 메일 hwp·doc 첨부파일 형태

기업에 다니는 회사원이 ‘연봉 협상 결과 통지서’, ‘동호회 모임 공지’ 같은 제목의 전자메일을 받았다면 열어 보지 않고 지워 버릴 수 있을까. 게다가 메일에 수신자 이름 등 각종 개인정보까지 특정돼 있다면 상당수는 의심 없이 첨부 문서를 열어 볼 것이다. 그런데 이렇게 열어 본 메일이 회사 전체를 혼란에 빠뜨리는 시발점이 될 수도 있다. 최근 기승을 부리는 ‘스피어 피싱’ 수법이다.

16일 안랩 등 보안업체에 따르면 스피어 피싱은 ‘창을 찌르듯’ 특정인을 정해서 속이는 피싱 수법이다. 불특정 다수에게 뿌려지는 스팸메일과 달리 미리 수집한 개인정보를 활용해 메일 수신자가 이를 믿도록 꾸민 ‘표적형 악성 메일’을 뜻한다. 트위터나 페이스북 등 소셜네트워크서비스(SNS)뿐 아니라 자주 가는 웹 사이트, 소속된 조직 등의 정보를 수집한 후 피싱 메일을 전송하고 이를 클릭하는 순간 악성코드를 감염시키는 방식이다.

특히 최근에는 첨부 파일을 ‘.exe’ 같은 실행파일이 아니라 ‘.hwp’, ‘.doc’, ‘.pdf’ 같은 문서 파일, ‘.zip’ 같은 압축파일 등 비실행형 파일로 만들어 사람들의 의심을 피하는 추세다. 안랩 관계자는 “문서파일에 악성코드를 심어 보내면 이를 열었을 때 문서 내용을 보여 주는 한편 프로그램이 가진 취약점을 이용해 PC에 악성코드를 감염시킬 수 있다”고 설명했다.

스피어 피싱의 위험성은 이렇게 악성코드에 감염된 개인 PC가 그 조직 전체를 공격하는 발판으로 활용된다는 점이다. 가장 유명한 사례는 지난 2월 밝혀진 미국 뉴욕타임스에 대한 공격이다.

익명의 공격자는 뉴욕타임스 중국 상하이 지부와 남아시아 지부 책임자에게 스피어 피싱 메일을 보내는 방법으로 4개월에 걸쳐 뉴욕타임스에 악성코드를 설치해 정보를 빼낸 것으로 알려졌다. 2011년 한 해외 보안업체 정보 유출 사건도 시작은 ‘2011 인원 채용 계획’이란 제목의 스피어 피싱 메일이었다.

스피어 피싱으로 감염되는 악성코드는 특정 조직에 대한 침투를 목적으로 만들어진 ‘맞춤형 악성코드’라 백신으로 막아내는 데에도 한계가 있다.

이에 보안업체들은 기존 백신은 물론 조직 특성에 맞는 보안 솔루션을 적용하는 노력이 필요하다고 말한다.

안랩 관계자는 “스피어 피싱을 예방하기 위해서는 기업과 개인의 공동 노력이 필요하다”며 “기업은 맞춤 솔루션 도입 및 직원 교육, 내부 보안 인재 육성을 동시에 진행해야 하고 개인은 PC 보안이 조직 전체에 영향을 끼친다는 점을 인식하고 주기적으로 백신을 업그레이드해야 한다”고 조언했다.

강병철 기자 bckang@seoul.co.kr