최근 네이버웍스 사용자를 겨냥한 고도화된 이메일 피싱 공격이 포착돼 기업 메일 이용자들의 주의가 요구됩니다.

오늘(15일) 정보통신기술(ICT) 업계에 따르면 이스트시큐리티 대응센터는 네이버웍스 사용자를 선별적으로 노린 표적 피싱 공격을 확인했다고 밝혔습니다.

해당 피싱 메일은 '[공문/필수] 2027년 고용노동부 노동정책 포럼 자료 제출 요청'이라는 제목으로 유포됐습니다.

메일에는 정부기관과 공식 협력사를 사칭한 문구와 참조 코드가 포함돼 수신자의 의심을 최소화했습니다.

이용자가 첨부된 HTML 파일을 실행하면 파일 내부 스크립트가 동작해 이메일 주소에서 도메인을 추출합니다.

이후 공격자는 구글과 클라우드플레어의 DNS API를 활용해 해당 이용자가 네이버웍스 사용자 여부를 확인합니다.

네이버웍스 사용자로 판단될 경우에만 가짜 로그인 페이지가 표시되며, 비밀번호 입력을 유도합니다.

비사용자에게는 빈 페이지가 표시돼 공격이 종료됩니다.

입력된 정보는 텔레그램 봇 API를 통해 실시간으로 공격자에게 전송됩니다.

탈취 대상에는 이메일 계정, 비밀번호, 브라우저 정보 등이 포함된 것으로 전해졌습니다.

공격자는 비밀번호 정확도를 높이기 위해 오류 메시지를 반복 표시하고 재입력을 유도하는 수법도 사용했습니다.

또 HTML 코드 난독화와 우클릭 차단 기능을 적용해 분석을 어렵게 했습니다.

이스트시큐리티는 이번 공격이 무작위 대량 유포형이 아닌, 이메일 도메인을 분석해 기업 사용자를 선별하는 표적형 공격이라는 점에서 위험성이 크다고 지적했습니다.

이스트시큐리티는 "공문이나 정부기관을 사칭한 메일은 신뢰를 악용한 수법"이라며 "HTML 파일은 실행하지 말고, 다중인증(MFA)을 반드시 설정해야 한다"고 당부했습니다.

연합뉴스TV 기사문의 및 제보 : 카톡/라인 jebo23

김수빈(soup@yna.co.kr)