브랜드 사칭해 국내 기업 계정 탈취…'로고킷' 피싱 공격 발견
국내 사용자를 대상으로 '로고킷(LogoKit)' 피싱 공격이 발견돼 사용자 주의가 요구된다. 이스트시큐리티 시큐리티대응센터(ESRC)는 19일 악성코드 분석리포트를 통해 국내 기업, 기관들의 계정정보 탈취를 시도하는 피싱 공격을 발견했다고 밝혔다. 로고킷은 브랜드 도메인을 사칭해 피싱 이메일을 보내 로그인 자격 증명을 얻어내는 사칭 피싱 공격이다. ESRC가 발견한 피싱 메일은 '사서함 중단 알림(조치 필요)'이라는 제목으로 유포됐다. ESRC는 "본문은 조잡하게 구성돼 있으며, 기계번역 된 것처럼 어색한 한국어로 작성돼 있어 일반 사용자들 역시 쉽게 피싱메일임을 인지할 수 있다"고 설명했다. 본문에는 '내 암호를 유지' 버튼이 있었으며, 이를 클릭하면 사용자가 피싱 페이지로 이동하게 된다. 해커는 피싱 페이지에서 수신자 이메일 도메인을 읽어와 해당 도메인과 매칭되는 브랜드 로고를 노출시켜 사용자를 속였다. ESRC는 "접속된 피싱 페이지의 URL을 보면 피싱페이지URL/#사용자ID@이메일 도메인으로 구성돼 있는데, @이하 이메일 도메인에 매칭되는 브랜드 로고를 Clearbit API를 이용해 불러오는 것"이라며 "이러한 방식을 통해 사용자의 신뢰를 얻고 계정정보를 입력하도록 유도하며, 입력한 계정정보는 공격자에게 전송된다"고 설명했다. ESRC에 따르면 이번 공격은 기업 및 기관에 종사하는 불특정 다수에게 피싱메일을 전송하는 형태로 진행됐으며, 사용자의 계정정보 탈취를 목적으로 했다. 해커는 이렇게 수집한 정보를 활용해 추가 공격을 진행할 것으로 예상된다. ESRC는 "유출된 계정정보를 이용해 인트라넷에 접속해 추가 공격이 가능한 만큼, 기업 보안담당자와 임직원을 대상으로 주기적인 보안교육을 진행해야 한다"며 "또한 주기적인 비밀번호 변경이나 2단계 인증을 통해 만일의 사태에 대비하는 등 계정정보 보안에 각별한 주의를 기울여야 한다"고 당부했다.