* 출처는 안랩입니다.

안랩은 2025년 2월 한 달 동안 수집한 피싱 메일을 분석하고, 유포량 변화, 첨부 파일을 이용한 공격 사례 등을 포함한 통계 자료를 정리해 공개했다. 이번 분석을 통해 피싱 공격자들이 활용하는 최신 기법과 주요 첨부 파일 유형을 파악하고, 보안 위협에 대한 인사이트를 제공하고자 한다. 이번 글에서는 2월 피싱 메일의 동향과 주요 통계를 살펴보고, 효과적인 대응 방안을 제시한다.  

1. 피싱 메일 위협 통계

2025년 2월, 피싱이 가장 빈번한 위협 유형으로 확인됐으며, 전체 공격의 78%를 차지했다. 공격자는 HTML 등의 스크립트를 활용해 로그인 페이지나 광고성 페이지의 화면 구성, 로고, 폰트를 정교하게 모방해 사용자가 자신의 계정 정보와 비밀번호를 입력하도록 한 뒤, 이를 공격자 C2 서버로 전송하거나 사용자를 가짜 사이트로 유도하는 방식을 사용했다.

이러한 피싱 기법은 스크립트뿐만 아니라 PDF 등 문서 파일 내에 하이퍼링크를 삽입하는 형태로도 활용되며, 사용자를 공격자가 제작한 피싱 사이트로 유인하는 데 악용되고 있다.

[그림 1] 2025년 2월 피싱 메일 위협 통계

2. 한글 이메일 유포 현황

안랩은 피싱 메일 중 한글로 구성된 사례를 분류하고, 해당 샘플에서 제목과 첨부 파일명을 일부 공개했다. 이를 통해 피싱 메일에서 자주 등장하는 키워드를 분석하여 미리 위협을 예방할 수 있다.

[그림 2] 한글로 유포된 피싱 메일 목록 일부

3. 피싱 메일 유포 사례 분석

첨부 파일의 포맷(Script, Document, Compress)별 분석을 통해 올해 2월에 실제로 발생한 피싱 공격 사례를 확인할 수 있다. 지난달에는 피싱 페이지(FakePage)뿐만 아니라 문서 첨부 파일을 이용한 다운로더(Downloader) 및 정보 유출(Infostealer) 악성코드가 피싱 메일을 통해 유포됐다.

특히, 문서 파일 내부의 ‘\word\_rels\settings.rels’ 파일에 ‘External Link’를 삽입해 사용자가 문서를 실행하는 순간 악성 기능이 자동으로 동작하도록 설계된 사례가 발견됐다. 또한, 최근 .NET 기반 실행 파일(.exe)이 압축된 형태로 피싱 메일에 포함돼 유포되는 사례가 증가하고 있어, 이에 대한 주의가 필요하다.

[그림 3] Document 포맷의 첨부 파일로 유포된 악성코드

[그림 4] Compress 포맷의 첨부파일로 유포된 악성코드

4. 피싱 공격 대응 방안

이처럼 기업을 겨냥한 피싱 공격은 점점 더 정교해지고 있으며, 지속적인 모니터링과 예방 조치가 필수적이다. 특히, 최근에는 조직 내부를 사전에 파악해 맞춤형 공격을 시도하는 사례가 증가하고 있다. 기업이 피싱 공격에 효과적으로 대응하기 위한 방안을 몇 가지 제시한다.

* 전체내용은 아래에서 확인하세요.

https://www.ahnlab.com/ko/contents/content-center/35791