보안공지 정보광장 > 공지사항 > 보안공지
글 보기
해킹메일 판별 및 대응요령
글쓴이 관리자 날짜 2018-11-20 09:31:56 조회수 2436

해킹메일 공격수법

 - 대상자의 메일주소를 언론기사, 관련 홈페이지나 명함 등을 통해 입수

 - 첨부파일에 악성코드를 은닉하여 열람PC를 악성코드에 감영시키거나 상용메일의 패스워드를 절취하여 은밀히 메일내용 열람

*해커는 악성코드 감염PC의 저장문서  연결된 USB 자료 등을 절취하고, PC 통신감시 및 주변 PC ‧ 전산망으로의 공격 확산수단으로 악용


 - 보안성이 강한 기관메일 보다는 개인 상용메일 및 대학교 메일계정을 대상으로 해킹메일 발송

 - 악성코드가 은닉된 첨부파일은 한글,MS오피스,Acrobat Reader 문서 및 압축파일 등 다양하게 활용

* 해킹악용 첨부파일 확장자: hwp, pdf, doc(x), xls(x), ppt(x), zip 등


해킹메일 판별요령

 - 업무 유관자(사칭) 및 지인(사칭)이 계획되지 않거나 요청하지 않은 내용의 메일을 송부

 - 특정기관의 보안메일이라며 대외비, 비공개, 중요자료 열람을 위한 링크 클릭을 요구

 - 메일 본문에 내용 식별이 관란한 작은 사진 ‧ 캡쳐 자료가 포함되어 있어 수신자가 내용 식별을 위해 자료를 클릭하도록 작성

 - 국내 ‧ 외 정세 및 현안 등에 대해 설명하면서 세부 내용은 링크를 클릭하여 자료를 다운롣하거나 첨부파일을 참조하기를 요청

 - 해당 분야의 관심 있는 학생,연구원 등이라며 첨부자료가 없이 작성한 메일내용에 대한 의견 회신을 요청

* 해커가 회신을 통해 수신자의 메일계정 사용여부 검증 후 수차례 메일을 주고 받아 신뢰를 쌓은 악성코드가 첨부된 해킹메일을 발송


 - 다음 ‧ 네이버 ‧ 구글 등 상용메일 '고객센터 ‧ 관리자'를 사칭한 비밀번호 유출 등의 보안경로를 통해 비밀번호 변경 ‧ 입력을 요구

* 해킹메일이 '고객센터 ‧  관리자'가 발송하는 정상적인 메일과 매우 흡사하므로 유의


 - 메일발신주소가 포털과 유사한 메일 계정 사용

* @google.com-> @goog 1 e.com / @daum.net->@dau u m.net / @naver.com -> naver-com.cc 등


 - 일면식이 없는 이가 이력서 ‧ 현안 자료 검토 등을 요구하면서 한글 파일(hwp)을 첨부

 - 미상인이 비밀번호로 압축된 파일을 첨부하고 패스워드를 본문에 기재

* 해커는 첨부파일의 유해성을 검사하는 메일 보안 시스템을 위회하기 위해 악성코드가 은닉된 첨부파일을 비밀번호로 압축하여 발송


 - 미상인이 메일제목 및 첨부파일 열람을 유도하기 위해 최근 주요 관심사항 또는 업무와 관련된 제목, 호기심 유발 제목 등 사용


해킹메일 대응요령

 - '해킹메일 식별요령' 참조, 평소 연락이 없거다거나 받기로 예정되지 않은 의심스런 메일(첨부물 포함) 수신시 절대 열람금지

* 발신자 실제 발송여부 확인 또는 該기관 사어버안전센터에 메일의 유해성 확인 요청


 - 발신자 주소를 확인, 네이버 ‧ 구글 등 사용메일 주소와 유사하게 위장된 경우 메일 열람 금지

 - 패스워드를 입력하는 웹페이지의 주소가 정상적인 상용메일 주소인지를 확인하고, 의심스러운 경우 패스워드 입력 중단

* 패스워드 입력 웹페이지 내용만으로는 해킹메일과 정상메일 구별이 불가능


 - 수신된 메일 클릭을 통한 패스워드 입력을 금지하고, 필요시 직접 포털 서비스에 로그인 후 계정,환경설정 등의 메뉴로 패스워드 변경

 - 메일 로그인시 패스워드 이외 SMS(문자)   mOTP(모바일OTP) 등을 인증수단으로 추가하는 2단계 인증 적극 활용

* 대다수 사용메일에서는 무료로 2단계 인증서비스 제공


 - 사용메일이 제공하는 '로그인 이력' 등을 확인, 패스워드 유출 여부를 상지 점검하고 필요시 '해외에서의 로그인 차단' 설정

 - 의심스러운 메일 열람시, 즉시 부처 정보보안담당관에 신고, 요해성 여부 및 PC 안정성 검사를 요청하거나 해당PC를 완전 포맷 후 사용.  끝.