“항공 e-티켓 확인증입니다” 이메일 함부로 열어 보면 안 되는 이유

① 항공권 결제 이메일 사칭

요즘 해외여행을 떠나는 여행객이 무척 많아졌습니다.
인천국제공항의 올여름 성수기 이용객이 코로나19 이전의 85% 수준으로 회복했는데요.
인천국제공항공사는 7월 25일부터 8월 15일까지 올여름 성수기의 공항 이용객이 396만 2천908명으로 하루평균 18만 132명을 기록했다고 밝혔습니다.
지난해 같은 기간의 6만 2천983명과 비교하면 거의 3배로 늘었음을 알 수 있는데요.

이렇듯 해외여행을 떠나는 여행객이 많아지면서 이에 따른 피싱이 발생해 문제를 일으키고 있습니다.
바로 항공권 결제 이메일을 사칭하는 것인데요. 과연 어떤 내용인지 자세히 확인해 보도록 하겠습니다.

② 항공사에서 보낸 것처럼 정교하게 꾸며내

항공권 예약이 늘어나면서 항공권 결제 이메일을 사칭한 피싱이 크게 늘어났습니다.
지난 5월 ESRC(시큐리티대응센터)에서는 항공권 관련 피싱 이메일에 관해 주의할 것을 당부했습니다.

연초 택배 배송 확인이나 건강 검진 결과 등으로 피싱 이메일을 보냈다면 이제 항공권 예약 확인으로 내용이 바뀌었는데요.
메일 제목은 ‘항공권 결제가 완료되었습니다~공항 가기 전 확인’으로 확인됩니다.
첨부 파일을 클릭하면 압축을 해제하고 아이콘과 확장자명을 PDF 문서로 위장한 파일이 나옵니다. 그리고 로그인 페이지가 나타나는데요.
만약 로그인하게 된다면 개인정보가 공격자 서버로 즉시 유출됩니다.

공격자는 발신지 이메일 주소를 다양하게 만들어 추적과 차단을 어렵게 만들었습니다.
악성 파일은 특정 명령 제어 서버로 통신하여 추가 악성코드를 다운로드하고 실행하게 만들기까지 합니다.

ESRC는 항공권 예매뿐만 아니라 다른 온라인 예매 시스템이 피싱 공격에 활용될 수도 있다고 경고했는데요. 이와 유사한 형태의 이메일은 자신이 예매한 사실이 없는 경우 절대 누르지 말라고 강조했습니다.

보안업계 관계자는 “피싱 피해를 방지하기 위해선 이메일 링크를 통한 홈페이지에 개인정보를 입력하지 말고 믿을 수 없는 첨부파일은 열어봐선 안 된다”며 “공공기관이나 수사기관으로부터 온 이메일의 경우 사전에 안내되지 않은 메일이라면 주의가 필요하다”는 말을 전했습니다.

③ 과거에도 비슷한 내용의 피싱 메일 확인돼

과거에도 비슷한 내용의 사칭 메일이 다량 유포된 적이 있습니다.
2019년에도 국내 항공사의 전자 항공권 티켓 확인증으로 위장한 해킹 메일이 퍼졌는데요.
당시 이들은 ‘**항공 e-티켓 확인증입니다’라는 제목의 이메일에 악성 파일을 첨부하고 있습니다.
마치 특정 항공사에서 보낸 것처럼 정교하게 이메일을 보내는데요. 해당 메일에는 ‘e-Ticket 확인증_95291015.iso’이라는 그럴듯한 파일명의 압축 파일이 첨부되어 있죠.

그렇다면 해당 메일은 어디서부터 시작된 것일까요?
ESRC는 공격에 사용된 악성 코드를 분석한 결과, 상반기 중 한국 기업의 AD서버를 대상으로 클롭(Clop) 랜섬웨어를 은밀하게 유포한 러시아 기반 추정의 ‘TA505’ 조직이 위협 배후에 가담하고 있는 것으로 의심했습니다.
‘TA505′ 조직은 지난 4월 한국에 ‘송금증 $114.36’이라는 제목의 메일을 다량 전파했는데요.
과거 ‘XLS’, ‘DOC’ 문서 파일의 매크로 기능을 활용했지만, 이번에는 압축 파일 내부에 PDF 문서 파일로 위장한 실행파일을 첨부했죠.

이들이 이메일에 첨부한 악성 코드에 감염될 경우 공격자가 지정한 특정 명령 제어 서버와의 은밀한 통신을 통해 공격자가 감염된 PC를 원격지에서 제어할 수 있게 되는데요.

또한 추가 악성코드 설치 후 특정 기업 내부 환경을 노려 맞춤형 랜섬웨어를 유포할 것으로 추정됩니다.
ESRC 문종현 이사는 “위협 배후로 추정되는 ‘TA505’ 조직은 한국의 불특정 다수의 기업을 대상으로 맞춤형 해킹 이메일을 유포한 후, 다단계 내부 침투를 통해 은밀하게 클롭 랜섬웨어를 유포했던 러시아 기반 추정의 고도화된 사이버 범죄조직”이라고 말했는데요.
이어 “사회공학적 기법과 유창한 한글로 현혹한 악성 이메일을 유포하고 있어, 유사 보안 위협에 노출되지 않도록 각별히 주의해야 한다”고 전했습니다.

한국인터넷진흥원과 ESRC는 협력을 통해 해당 악성코드의 명령제에 서버 차단과 긴급 모니터링 등 피해 규모 감소를 위해 나섰습니다.
보안 백신 프로그램 알약(ALYac)에서 공격에 사용된 악성코드를 탐지 및 차단할 수 있도록 긴급 업데이트를 진행하기도 했죠.

여행업계가 다시 살아나면서 해커들의 새로운 공격 대상으로 떠올랐는데요. 이들은 피싱 메일, 랜섬웨어, 지능형지속위협 등으로 보안을 위협하고 있습니다.
이러한 위협으로 개인의 각별한 주의도 필요한 상황이죠.