[아이티데일리] 최근 공공기관 사칭 피싱(phishing) 공격이 활발히 일어나고 있어 각별한 주의가 필요하다. 공격자들은 기관 홈페이지나 메일로 위장한 페이지를 통해 악성 앱을 유포하고 있는 것으로 확인됐다.

로그프레소는 14일 공식 블로그를 통해 교통법규 위반 과징금 고지서로 위장한 악성 메시지가 활발히 유포되고 있다고 밝혔다.

이번 스미싱(smishing) 공격 사례는 ‘정부24 교통법규위반’ 등 내용이 담긴 메시지를 발송하는 형태로 이뤄졌다. 사용자가 해당 메시지에 담긴 링크를 클릭하면 정부 기관 사칭 페이지로 연결된다. 이후 추가 악성 앱 설치를 요구하는 단계가 이어지며, 이를 통해 공격자는 개인정보를 탈취하거나 원격으로 모바일 디바이스에 접근하는 등의 시도가 가능해진다.

링크 클릭 시 노출되는 ‘정부24’ 서비스 사칭 페이지에는 ‘과태료 납부 서비스’라는 항목을 포함한 주요 메시지가 한글로 작성돼 있었다. 하지만 해당 페이지의 IP 주소는 해외 서비스였다.

이번 공격은 안드로이드 계열 스마트폰을 표적으로 삼았다. 사용자가 인터페이스 다운로드 버튼을 누르면 자바스크립트(JavaScript) 함수가 동작했는데, 이는 기기의 운영체제(OS)가 안드로이드인지 iOS를 식별했다. iOS의 경우 “해당 어플을 다운로드할 수 없습니다”라는 메시지와 함께 진행이 중단됐다.

로그프레소는 지난 1월 중순부터 현재까지 이 같은 악성 스미싱 공격을 펼치고 있는 공격자의 IP 주소와 악성 도메인을 분석했다. 이 과정에서 자사 정보보호 통합 플랫폼인 ‘로그프레소 소나’의 도메인 정보 피봇 기술을 활용, IP 정보 추출뿐 아니라 공격에 쓰인 도메인 정보까지 정확히 식별할 수 있었다.

분석 결과, 공격 조직은 올해 1월 18일 이후 ‘과태료 납부 서비스’로 위장한 악성 스미싱 공격을 2월 현재까지도 활발히 수행 중이었다. 지난 8일 기준 이번 스미싱 공격에 IP 주소 16개, 도메인 301개가 사용된 사실도 확인됐다.

로그프레소 측은 “다수의 인프라가 동원됐다는 점은 공격 조직이 강력한 의지를 가지고 공격을 수행 중임을 시사한다”며 “공공기관이나 통신사, 기업의 경우, 로그프레소에서 공개한 공격 인프라 관련 침해 지표(IoC)를 참고해 차단 조치하도록 권장한다”고 밝혔다.

한편, 로그프레소는 지난 1월 2024년도 2기 확정 부가가치세 신고 기간을 맞아 국세청이나 국내 포털 사이트를 사칭하거나 인증 메일로 위장하는 공격 사례도 발견했다.

해당 공격은 부가가치세 확정신고 납부 통지서와 같은 공공기관의 공식 문서로 위장해 이메일을 전송하는 방식으로, 워터링 홀(Watering Hole) 계열 공격으로 확인됐다. 워터링 홀은 해커가 공객 대상 정보를 수집 후 자주 방문하는 사이트를 알아내 악성코드를 뿌리는 공격 방식이다.

피싱 이메일 내 링크를 클릭하면 포털 사이트로 위장한 추가 페이지가 표시됐다. 사용자가 해당 페이지에서 요구하는 정보를 입력할 경우, 공격자는 입력된 크리덴셜을 획득할 수 있는 구조로 설계됐다.

이 역시 치밀한 사전 준비를 거친 조직적 악성 공격이었다. 로그프레소는 취약점 인프라를 분석해, 해당 이메일 피싱 공격에 IP 주소 10개와 악성 도메인 119개가 쓰인 정황을 포착했다.

로그프레소는 매년 1, 2월 부가가치세, 연말정산 등 관련 피싱 메일로 인한 피해가 발생할 가능성이 높기에 이용자의 주의를 당부하는 한편, 원활한 대응과 차단을 돕기 위해 자사가 분석한 침해 지표를 홈페이지에 공개했다.