[디지털데일리 김보민기자] 올해 2분기 피싱 이메일 공격자들이 가장 많이 활용한 키워드 유형이 '결제·구매'였던 것으로 나타났다. 피싱 이메일 내 가짜 페이지를 첨부해 사용자를 속이는 행위도 지속됐다.

안랩(대표 강석균)은 '2024년 2분기 피싱 이메일 통계 보고서'를 14일 발표했다. 조사는 키워드, 악성 첨부파일, 악성 첨부파일 확장자 등 세가지 유형으로 나눠 진행됐다.

올 2분기 피싱 이메일 공격자들이 가장 많이 활용한 키워드 유형은 '결제·구매'로, 전체 27.7%를 차지했다. 공격자는 결제(payment), 주문(order), 청구서(invoice) 등 금전 거래와 연관된 키워드를 제목에 넣어 사용자 주의를 끌었다.

두 번째로 비중이 높은 키워드 유형은 '배송·물류'(20.6%)였다. 공격자는 배송(delivery), 운송(shipment), 세관(customs) 등 단어를 사용하거나 실제 유명 물류 업체명을 언급하며 사칭을 시도했다.

세 번째로 비중이 높은 키워드 유형은 '공지·알림'이었다. 공격자는 긴급(urgent), 안내(notice) 등 키워드로 사용자 호기심을 악용한 것으로 분석됐다.

안랩은 세 가지 키워드 유형이 모두 업무와 일상생활에 관련된 만큼 사용자 주의가 필요하다고 말했다. 또한 중국 전자상거래(이커머스) 등을 통한 해외 직구가 유행하고 있는 만큼, 사용자 차원에서 주의 사항을 인지해야 한다고 강조했다.

악성 첨부파일 유형으로 보면 '가짜 페이지'(50%)를 사용한 경우가 가장 많았다. HTML 등으로 제작된 가짜 페이지는 화면 구성, 로고, 글씨체(폰트) 등 정상 페이지 요소를 모방하기 때문에 구분이 어렵다는 특징이 있다. 주로 로그인 페이지로 위장해, 사용자가 자신의 계정 정보를 입력하도록 유도하는 공격이 많았다. 입력된 정보는 공격자 서버로 전송된다.

감염 PC에 추가 악성코드를 내려받는 '다운로더'는 13%로 2위를 차지했다. 정상 프로그램을 가장해 실행 시 악성코드를 실행하는 '트로이목마'(10%), 사용자 정보를 탈취하는 '인포스틸러'(5%)는 그 뒤를 이었다.

악성 첨부파일 확장자 유형으로 보면, '스크립트 파일'(50%)로 인한 공격 비중이 가장 많았다. 스크립트 파일은 가짜 페이지를 웹 브라우저에 실행하기 위해 사용된다.

두 번째로 많이 사용된 첨부파일 확장자 유형은 '압축파일'(29%)이다. 그 다음으로는 확장자를 포함하는 '문서'(12%)가 뒤를 따랐다.

안랩은 피싱 메일로 인한 피해를 예방하기 위해 발신자를 확인하고 의심스러운 첨부파일과 인터넷주소(URL)를 실행하지 않아야 한다고 강조했다. 또한 사이트 별로 다른 계정을 사용하고 비밀번호 등 정보를 주기적으로 변경할 것을 권장했다. 사용 중인 프로그램을 최신 버전으로 유지하는 것도 중요하다.

양하영 안랩 시큐리티인텔리전스센터(ASEC) 실장은 "결제, 배송, 긴급 등 사용자 관심을 끌 수 있는 키워드를 활용해 피싱 메일을 유포하는 공격은 지속 발생하고 있다"며 "피싱 메일 문구나 첨부파일 등도 고도화하고 있어, 사용자들은 다양한 유형을 숙지하고 보안 수칙을 지켜야 한다"고 말했다.