고용노동부 사칭 피싱 유포 사례 분석 - 이메일 도메인 분석까지 수행하는 ‘정밀 타겟형’ 공격

 

 

 

 

최근 이스트시큐리티 대응센터(ESRC)에서 운영 중인 APT TDS(Threat Detection System)를 통해, 네이버웍스 사용자를 겨냥한 고도화된 피싱 공격이 포착되었습니다.

 

 

이번 공격은 단순 유포형 피싱을 넘어 기업의 메일 환경을 식별하는 정밀함을 보이고 있으며, 현재 TDS에 기록된 실시간 탐지 데이타와 연관정보를 토대로 해당 피싱 공격에 대해 분석한 내용을 공유해 드립니다.

 

 

1. 피싱 메일 및 유포 방식

 

피싱 메일은 '[공문/필수]2027년 고용노동부 노동정책 포럼 자료 제출 요청' 이라는 제목으로 유포되었습니다.

• 사회공학적 기법: 메일 본문에 고용노동부(MOEL) 및 공식 협력사를 사칭한 법적 근거와 참조 코드를 명시하여 사용자의 의심을 피합니다.
• HTML 첨부파일: '2027년_고용노동부_노동포럼_설문_입력창-(수신자 메일주소)'와 같이 수신자의 메일주소가 포함된 HTML파일을 첨부하여 실행을 유도합니다.
  

[그림 2] 피싱 메일 본문

 

 

2. 공격 흐름

 

① HTML 첨부파일 실행 및 이메일 도메인 추출

사용자가 첨부된 HTML 파일을 공문 파일로 오인하여 실행하면 파일 내부에 포함된 스크립트가 동작하면서 코드에 하드코딩된 사용자 이메일 주소에서 도메인을 추출합니다.

 

② DNS MX 레코드 조회를 통한 네이버웍스 사용자 필터링

도메인 추출 후 Google 및 Cloudflare의 DNS API를 호출하여 추출된 도메인의 MX(Mail Exchanger) 레코드를 조회합니다.

이후 최우선(priority) MX 서버 문자열에 worksmobile(네이버웍스) 포함 여부를 확인하여 네이버웍스 사용자인지를 판단합니다.

 

MX(Mail Exchanger) 레코드란?

MX 레코드(Mail Exchanger Record)는 DNS에서 해당 도메인의 이메일을 어디로 전달해야 하는지 알려주는 정보입니다.
예를 들어 user@example.com 라는 메일주소로 메일을 보내는 경우 해당 메일주소만으로는 전달될 수 없고 실제 메일을 수신하는 서버 위치를 알아야 전송이 가능합니다. 이때 사용되는 것이 DNS의 MX(Mail Exchanger) 레코드 입니다.
하나의 도메인에는 여러 MX 레코드가 존재할 수 있으며, 각 레코드에는 우선순위(Priority) 값이 설정됩니다. 숫자가 낮을수록 우선 사용되는 최우선 MX 서버를 의미하며, 공격자는 이 서버 문자열을 통해 해당 도메인의 메일 서비스 종류를 식별할 수 있습니다.

 

[그림 3] DNS MX 레코드 조회 및 도메인 검증 코드

 

③ 조건부 로그인 페이지 표시 및 비밀번호 입력 유도

네이버웍스 사용자로 확인된 경우에만 공격자가 제작한 로그인 페이지를 표시하여 비밀번호 입력을 유도합니다.

다른 메일 서비스를 사용하는 경우에는 로그인 페이지를 표시하지 않고 빈페이지로 이동시켜 공격을 종료합니다.

 

[그림 4] 로그인 페이지

 

④ 계정 정보 탈취 및 Telegram 실시간 전송

사용자가 로그인 화면에 입력한 정보는 공격자가 제어하는 Telegram Bot API를 통해 실시간으로 전송됩니다.

• 탈취 항목:  사용자 이메일 계정, 비밀번호,  브라우저 정보 (첨부된 HTML 파일 실행 브라우저 유형)

[그림 5] 계정 정보 탈취 코드

 

[그림 6] 공격자에게 전송되는 계정 정보

 

[그림 7] 공격자의 텔레그램 봇 계정

 

⑤ 재입력 유도 및 정상 사이트로 리다이렉트

입력 정보의 정확도를 높이기 위해 최소 2회까지 가짜 오류 메시지(인증 또는 시스템 오류)를 표시하여 사용자가 비밀번호를 반복 입력하도록 유도합니다.

이후 정상 메일 서비스 페이지로 이동시켜 사용자가 피싱 공격을 인지하기 어렵게 만듭니다.

 

[그림 8] 비밀번호 입력 시 팝업되는 가짜 오류메세지

 

3. 분석 방해 기능

 

첨부된 HTML 파일 내부 코드에는 분석가의 코드 분석을 방해하기 위해 다음과 같은 기법이 적용되어 있습니다.

• 스크립트 난독화: 함수와 변수명을 무작위 문자열로 치환하여 가독성을 떨어뜨립니다.
• 마우스 우클릭 및 개발자 도구 차단: 웹 페이지 내에서의 마우스 우클릭 및 주요 단축키 입력을 차단합니다.

분류	차단 항목
우클릭	contextmenu (마우스 우클릭 메뉴)
개발자 도구	F12, Ctrl+Shift+I
소스 보기	Ctrl+U
페이지 저장	Ctrl+S
복사/선택	Ctrl+C, Ctrl+A, Ctrl+X

[표 1] 차단되는 항목 

 

 

4. 보안 권고 사항 및 예방 방법

 

기업 메일을 사용하는 환경에서는 다음 예방 수칙을 반드시 준수하여 피해를 방지하시기 바랍니다.

• 첨부된 HTML 파일 내 로그인 금지: 메일 첨부파일인 HTML을 실행했을 때, 계정 정보 입력을 요구한다면 피싱일 가능성이 매우 높습니다. 공식 기관은 첨부파일을 통해 기관 공식 사이트 로그인을 진행하도록 안내하지 않습니다.
• 다요소 인증(MFA) 필수 설정: 피싱 페이지에서 비밀번호를 입력했더라도, OTP(일회용 비밀번호)나 생체 인증 등 추가 수단이 설정되어 있다면 공격자가 계정에 최종 로그인하는 것을 차단할 수 있습니다.
• 보안 인식 교육 및 정책 강화: 기업은 정기적인 피싱 대응 교육, 메일 보안 정책, 접근 통제 및 이상 로그인 모니터링을 통해 조직 차원의 대응 체계를 강화해야 합니다.
  

 

이번 공격은 단순한 대량 유포형 피싱이 아닌, 수신자의 이메일 도메인을 분석하여 기업 사용자를 정밀 타겟팅하는 고도화된 공격이라는 점에서 더욱 위험합니다.

 

특히 공문/정부기관/협력사 등을 사칭하는 공격은 실제 업무 흐름과 유사해 사용자가 쉽게 속을 수 있습니다. 의심스러운 메일의 첨부파일 실행과 계정 정보 입력은 곧바로 계정 탈취로 이어질 수 있으므로, 기업사용자 분들은 보안 수칙을 생활화하고 조직 차원의 지속적인 보안 인식 교육과 점검이 필요합니다.

 

 

IoC

Indicator	Type	Description	Detection Name
21DB441D894FAC05C3C4B9085877F49C	MD5	피싱 HTML 파일	Trojan.HTML.Phish