※ 본 내용은 보안 전문업체 ‘이스트시큐리티’의 블로그 기고문을 참조하여 작성하였습니다.

최근 국가정보원을 사칭한 피싱 메일 유포가 식별되고 있어 사용자의 주의가 요구 됩니다.

지난 4월 이후 국가정보원을 사칭한 피싱 메일 유포가 식별되어 관련 내용이 국정원 공지사항을 통해 안내 되고 있으나 해당 피싱 메일이 지속적으로 유포되고 있는 것으로 확인되었습니다.

[그림] 국정원 공지 내용

보안 전문업체 ‘이스트 시큐리티’에 따르면 해당 메일은 ‘경찰보고서’ 라는 제목으로 발신자명을 국가정보원으로 위장하고 발송되었으며 ‘국가정보원(한국).pdf’ 파일이 첨부되어 있습니다.

해당 피싱 메일에는 첨부된 경찰 보고서를 읽어보고 즉시 회신해달라는 내용으로 첨부파일 확인을 유도하며, 첨부된 PDF 파일에는 ‘사이버범죄 수사보고서’ 라는 제목으로 사이버 범죄에 기소되어 답변이 필요하며 불응시 체포될 예정이라는 내용을 담아 메일 수신자에게 위협을 주고 있습니다.

[그림] 국정원 사칭 피싱 메일

최근 유포된 메일도 최초 발견된 메일과 동일한 내용의 동일 파일로 확인되었으나 첨부 파일 분석결과 경찰보고서를 사칭한 부분 외에 다른 악성행위는 없는 것으로 확인되었습니다.

국정원 공지를 통해 피싱 메일임이 밝혀졌음에도 지속적으로 해당 메일이 유포되고 있는 상황과 메일 회신을 유도하는 점으로 보아 메일 수신자의 대응을 살펴 이후 공격을 진행하기 위한 사전 작업으로 발송하는 행위로 보이나 해당 첨부파일이 향후 악성행위가 추가된 악성 파일로 교체되어 유포될 가능성이 있어 사용자의 지속적인 주의가 필요합니다.

[그림] 국가정보원(한국).pdf 파일

현재 해당 피싱 메일의 첨부파일에 대해 교내 설치된 알약 백신을 통해 Trojan.PDF.Phish 으로 탐지 및 치료가 가능합니다.