“AI 위장 인포스틸러 기승”…법무법인 사칭 피싱 메일 급증

AI를 응용한 인포스틸러(정보 탈취형 악성코드)가 법무법인 사칭 피싱 메일에 실려 국내 IT 보안 환경에 경고신호를 보내고 있다. 최근 공격자들은 사회공학적 심리 압박과 정교하게 위장된 악성코드를 조합해, 단순 배포를 넘어 낚시 메일 수신자를 교묘하게 속이는 방식으로 진화 중이다. 이번 사례에서 특히 주목되는 점은 법률 분쟁, 저작권 침해 통지 등 사용자의 불안 심리를 자극하는 키워드가 악용됐다는 점이다. 업계는 이번 유형이 지능형 해킹 수법과 보안습관의 분기점이 될 것으로 보고 있다.

안랩에 따르면 지난 26일 공개된 이번 공격은 국내 법무법인을 사칭해, 실제 저작권 소유자를 대리한다는 공식 분쟁 통지 문구로 이메일을 발송한 것이 특징이다. 메일에는 '경찰로부터 수집된 문서.pdf'라는 안내와 함께, 실제로는 URL이 숨겨진 클릭 유도 문구가 삽입됐다. 수신자는 첨부된 문서가 분쟁 증거 자료로 쓰인다는 설명에 위축돼 클릭을 유도받았다. 이때 링크를 클릭하면, 일반적인 PDF 문서가 아닌 exe(실행 파일) 및 DLL(동적 링크 라이브러리) 파일을 포함한 zip(압축) 파일이 내려받아진다. 사용자가 이 실행 파일을 무심코 열면, 악성 DLL이 동시에 기동돼 계정·금융정보, 키보드 입력, 화면 캡처 등 다양한 내부정보를 해킹 서버로 전송하는 인포스틸러가 활성화된다.

이처럼 자동반사적으로 클릭을 유도하는 기만적 사회공학 기법과 악성코드 기술의 융합은 기존 보안대책의 한계로 지목되고 있다. 특히 피해자가 PDF·문서로 착각해 실행 파일을 여는 순간, 동적 실행 구조를 악용한 인포스틸러가 동작하는 점이 과거 평면적 링크 클릭 유도형 피싱과 다르다. 실제 감염 후에는 단순 계정유출에서 끝나지 않고, 금융거래 정보나 업무내역 전체가 탈취당할 위험성이 크다.

이와 같은 유형은 미국, 유럽 등 글로벌 시장에서도 다양한 방식으로 꾸준히 출현 중이다. 올해 들어선 국내외에서 법무법인, 정부기관, 교육기관 사칭과 연계된 사칭 피싱 메일이 빠르게 늘고 있다는 경고가 이어진다. 사이버 보안 업계에서는 "출처 불분명 메일 첨부 및 URL 실행 금지, 공식 사이트 주소 확인, PC·SW 최신 패치 적용, 백신 실시간 감시, 계정별 난수 비밀번호 등 기본 수칙 준수"를 최우선 예방대책으로 제시하고 있다.

안랩 분석팀 이가영 선임연구원은 “사용자가 심리적 불안을 느끼거나 긴급한 척 위장한 피싱 메일이 지속해서 등장하고 있다”며 “발신자 정보와 메일 내용을 꼼꼼히 재확인하고, 의심스러운 첨부 파일이나 URL 클릭을 피하는 생활 속 보안 습관이 점차 중요해지고 있다“고 설명했다.

산업계는 점차 정교해지는 피싱 메일과 정보 탈취형 악성코드가 실제 사용자 환경에서 피해를 확산시킬지 주목하고 있다. 기술 발전과 함께 이메일 보안 문화, 개인의 방어 역량 제고가 새 디지털 방패로 자리 잡을지 관심이 쏠린다.