메일 비밀번호 등 유출 유도
기업 내부 자료탈취 조심해야
회사원 A씨는 최근 ‘B종합상사’라는 제목의 메일을 수신했다. 연말정산 기간인 데다 전자 세금 계산서 형식을 띄고 있었기에 무심코 세금계산서 보기 버튼을 클릭했다. 곧이어 매크로 여부를 확인하는 보안코드 입력 페이지로 넘어갔고, 보안코드를 입력하니 A씨의 회사 로고와 함께 A씨 회사 메일 로그인 창이 떴다. 처음 보는 형식의 로그인 창이기에 일부러 다른 비밀번호 입력했고 재확인 과정을 거치니 이내 A씨 회사 홈페이지로 접속됐다.
A씨는 “연말정산 기간 중 세금계산서를 요청한 게 많아 무심코 클릭하게 됐다”며 “인사나 총무팀일 경우 무심코 볼 수밖에 없는 메일이다”고 토로했다.
해당 메일은 메일 비밀번호를 알아내는 피싱 메일이다. 자세히 살펴보면 상호, 담당자, 연락처가 잘 못 기재돼 있고 세금계산서 항목 중 공급가액, 세액, 품목이 빠지는 등 세금계산서의 구성 요건을 갖추지 못하고 있다.
피싱 범죄를 확인하고 공급자 연락처로 연락하면 “안녕하세요. B종합상사입니다. 메일 보시고 연락 주시는데, 스팸메일입니다. 삭제 부탁드립니다. 저희 회사는 세금 계산서 메일 보내지 않았습니다”라는 통화 연결음만 흘러나오는 등 명의를 도용당한 회사 또한 업무를 방해받고 있는 것을 알 수 있다.
보안 업계 관계자는 “일반적으로 피싱 메일의 경우 최종 목적이 금전이지만, 기업이 대상일 경우 내부 접속의 실마리를 찾아 최종적으로 기업 내부 자료 탈취 목적이 더 크다”고 답했다.
기업 메일 전문회사 관계자는 “서비스 서버가 공격받아 발송된 것은 아니다”며 “오픈된 메일주소 등을 수집해 매크로를 돌린 것으로 보인다. 메일 수신 설정에서 외부 메일에 대한 SSL 인증을 설정하는 것을 권한다”고 말했다.
신동섭기자 shingiza@ksilbo.co.kr