[IT Tip] 은행 보안메일 사칭 피싱메일 주의보 (feat. 드롭박스 링크)

 

은행 보안메일 사칭 피싱메일 주의보

첨부파일을 클릭하면 나오는 화면

1) 하나은행에서 온 보안메일

 하루 일과의 시작은 이메일 확인으로 시작합니다. 평소에는 대단한 내용은 없고 대부분 광고성 메일이지만, 오늘은 은행에서 메일이 몇 건 와 있더군요. 신한은행에서 MMF 정기수익보고서 하나와 그와 관련된 안내 메일 하나, 그리고 하나은행에서는 오픈뱅킹과 관련된 금융거래정보 제공사실안내라는 메일이 왔습니다.

 

 

 

 신한은행 정기수익보고서야 늘 받아오던 것이 새삼스러운 일이 아닙니다. 매달 11일에 보내오는 것이라, “아, 오늘이 11일이었구나.”라는 걸 새삼 인식했을 따름입니다.
  그런데 하나은행은 뭔가요?

 오픈뱅킹?
 금융거래정보 제공사실안내?

 금융거래정보제공 운운이라는 말도 영 꺼림직한데, 거기에 오픈뱅킹이라는 옵션까지 붙어 있습니다. 혹시 하나은행 계좌 쪽에 무슨 문제라도 생긴 것인가 싶어서, 얼른 메일을 열어보았더랬지요. 하나은행에는 신한은행이 오픈뱅킹으로 연결돼 있기 때문에, 한쪽이 털리면 다른 쪽도 털리는 건 시간문제일 것 같았습니다.
 

나한테 날아온 하나은행 보안메일

 

 메일을 열자, 가장 먼저 눈에 날아들어온 건 문두에 쓰인, 고객님이 요청하신 이메일을 보내드린다는 문구.

 그 문장을 보니 바로 눈쌀이 찌푸려지더군요. 그리고 왠지 걱정이 확신이 되어가는 느낌도 들었습니다. 그것도 그럴만한 것이, 전 하나은행에 딱히 어떤 메일도 “요청”한 적이 없습니다.

 현재 하나은행 계좌는 거래실적을 위해 네이버 애드포스트와 쿠팡 파트너스에 연결해 두고, 핸드폰에서 무료로 사용하는 앱 - 아이클라우드 혹은 드롭박스 같은 클라우드 서비스 - 을 유료로 전환할 때를 대비해 계좌와 연동한 체크카드를 연결해 둔 것이 전부입니다.
 그 중에 블로그 수익들은 매달 지급받을 수 있는 정도의 액수도 아니라서 두어 달에 한 번 정도씩 입금이 되고 있고, 핸드폰 앱들은 아직 유료로 전환하지 않고 무료로 사용하고 있습니다. 또, 원래부터 하나은행 계좌는 설령 해킹으로 털린다고 해도 금전적인 피해를 최소화하기 위해 잔액을 거의 남겨두지 않고 있습니다. 10월에 간만에 애드포스트 수익이 정산된 덕분에 조금 큰 금액이 들어오긴 했지만, 그것도 얼마 전에 주거래 은행인 신한은행으로 빼갔습니다. 그래서 지금은 몇 만 원 안 남은 상태. 이것도 조만간 다시 정리할 겁니다.

 그리고, 하나은행 계좌의 가장 큰 존재의의인 외환거래도 현재는 외환시장 폭망으로 쉬는 중.

 자동이체되는 것도 없고.
 입출금 거래도 많지 않고.
 외화거래도 없고.
 

 하여간에 하는 것이 거의 없는 계좌.
 이대로는 비대면으로 개설한 계좌의 100만 원 출금한도도 못 풀 것 같은 상황인 계좌인데.
 그 정도로 그냥 방치에 가까운 상태에 두고 있는 계좌인데, 내가 무슨 메일을 “요청”했다는 걸까나?
 이거, 뭔가 수상합니다.
 

 거기에, 메일 가장 하단에는 “이 메일은 지정된 수신인에게 가는 것.”, “잘못 갔을 경우에는 바로 메일을 삭제해 주세요.”라고까지 쓰여 있었습니다. 또 뭔가의 첨부파일도 딸려 있었고요. 그걸 보면 본문의 내용은 정형문일수도 있겠으나, 아마도 메일의 포맷 자체는 정말로 마구잡이로 뿌려대는 광고성 메일이 아닐지도 몰랐습니다.

 그렇다면, 이 메일은 분명히 계좌 주인인 나를 지정해서 온 것이다 → 그렇지만 나는 이렇다 할 액션을 취하지 않았다. → 그렇다면, 이것은 내가 아닌 다른 사람이 내 계좌에 접근한 것인다 →  즉, “어느 시방새가 내 계좌에 접근하려고 비밀번호 찾기를 했나보다.”

​ 어느 쉬키야?!!!!

 보통, 자신이 회원가입해 있는 사이트에 접속할 때 비밀번호를 몰라서 비밀번호 찾기를 하면 가입할 당시의 이메일로 임시 비밀번호를 발급해서 보내주죠. 바로 그런 것이라고 생각한 겁니다. 그리고 이 방식은 내 정보를 훔쳐간 도둑놈들이 기본적으로 쓰는 방식이기도 합니다. 일단 아이디를 확보한 다음, 그런 식으로 비밀번호를 바꿔치기해서 로그인을 해 버리는 것이죠.

 그렇게 결론이 내려지자, 이제는 제 고질병인 걱정병이 도지기 시작했습니다. 아, 젠장. 하나은행도 뭔가 정보가 털린 건가.

 

 

​2)  은행 보안메일을 가장한 악성 이메일

 은행 계좌가 해킹당한 것 같다면, 비밀번호부터 바꾸는 것이 선결문제입니다.
 만. 정확하게 어떤 상황인지 알 수 없어서, 일단 이 메일이 어떤 때 날아오는 메일인지부터 확인을 하고자 했습니다. 그리하여 구글에 검색을 해 보았지요.

 키워드는 “하나은행 보안메일”

 끝까지 다 찍지 않아도 이미 키워드가 자동완성이 돼 있는 상태더군요. 그래서 자동완성된 키워드를 클릭했지요.
 그러자 많은 결과가 검색되더군요. 그리고 그 검색결과의 대부분은 뉴스 기사. 하나은행 보안메일을 사칭한 악성메일이 유포되고 있다는 내용이었습니다. 그리고 기자가 받았다는 메일도 이미지로 첨부했는데, 놀랍게도 제목은 달랐지만 본문은 제가 받았던 메일과 토씨 하나 안 틀리고 똑같았습니다.

▶ 기사에 첨부된 메일

이미지 출처. 디지털 데일리

 

 기사에 따르면, 시키는 대로 첨부파일을 클릭하니 다음과 같은 작업이 진행되었다고 합니다.

1. 정상적인 보안메일과 마찬가지로 생년월일 여섯자리를 입력하라고 한다.

2. 비밀번호 입력시 엑셀 문서를 내려받으라고 한다.

3. 액셀파일이니 MS 엑셀에서만 열 수 있다며 이런 저런 절차를 거쳐 MS 오피스 설치 화면으로 진행한다.

 그러나 이 모든 것은 다 눈속임이었으니!
 뒤에서는 악성코드가 내 컴퓨터 이름과 사용자 이름, 운영체제 정보, 현재 실행 중인 프로그램 등의 시스템 정보를 줄줄이 누출한다고 합니다. 거기서 그치지 않고, 임시폴더에 특정 파일도 다운로드하게끔 명령을 내리는데, 이 파일의 종류에 따라서는 또다른 피해도 발생할 수 있다고 하는군요.

 

“ 페이크다, 이것들아!!”

 

 다만, 기자도 미처 채 거기까지는 확인해보지 못한 것인지, 어떤 종류의 피해가 발생하는지 그 상세한 내용까지는 뉴스로는 확인할 수 없었습니다. 그렇지만 컴퓨터나 스마트폰이 위기에 처할 뻔했다는 사실만큼은 확실합니다. 후아. 안 그래도 스마트폰으로 은행업무를 봐서 더더욱 신경이 쓰이는데, 악성 피싱 메일이라니. 그래서 뉴스 내용을 확인하자마자 바로 해당 메일은 휴지통행, 그것도 불안해서 영구삭제해버렸습니다.

 

 3) 올해는 하나은행만이 아닐지도 모른다

 이 기사나 나온 것은 작년 12월입니다. 아직 올해의 기사는 확인을 못해봤지만, 얼추 시기는 맞습니다.
 아마도 비슷한 시기가 되니까 또다시 은행 보안메일을 가장해 활동을 시작한 것일지도 모르죠. 올해는 작년과 마찬가지로 하나은행의 껍질을 뒤집어썼지만, 올해는 다른 은행으로 탈바꿈할 수도 있습니다. 거래은행이 여러 곳인 사람일수록 위험에 노출될 확률이 높을 것 같습니다. 실제로 저도 하나은행에 계좌를 갖고 있지 않았다면, “흥. 계좌도 없는 은행에서 무슨 보안메일이야?”라면서 쏘 쿨하게 비웃어줄 수 있었을 테니까요. 어설프게 사용하는 계좌가 있다보니 오늘처럼 낚시에 걸릴 뻔 했습니다.

 몇 년 전까지는 주변에서 해킹이네 뭐네 그런 얘기들을 많이 해도 제가 직접 겪는 일은 없었습니다. 그런데 작년부터 스미싱 문자라 날아오더니, 올해는 문자 메시지에 이어 고전적인 메일로도 해킹시도를 당하고 말았습니다. 유독 최근 몇 년 간 이런 해킹 위협을 많이 당하는 것 같습니다.

 그만큼 세상이 각박해진 것인지, 아니면 내가 블로그를 하면서 내 정보를 어디엔가 줄줄 흘리고 다니는 것인지.
 솔직히 앱테크라고 몇 개의 어플에서 광고를 보는 대신 포인트를 모으고 있는데, 이 과정에서 다 정보제공에 동의를 했습니다. 그게 다 내 정보를 팔아먹는 것인데, 그 때문인 것인가 싶기도 하고(나는 비록 해당 업체에만 정보를 제공한다고 했지만, 그 업체에서 제 개인정보를 어떻게 팔아먹을지는 알 수 없는 노릇이니까요).

  참나. 인터넷을 완전히 끊어버리면 가장 속이 편할 텐데, 그렇다고 또 인터넷을 완전히 끊어버리는 건 단순히 인터넷 기사의 댓글란을 안 본다는 정도와는 질이 다른 문제이니까요. 참 속 시끄럽네요.

 4) 뱀발

 작년에 해당 해킹메일과 같은 무리가 유포한 것으로 파악되는 또다른 악성파일을 발견했는데, 그건 무려!
 드롭박스 링크였다고 합니다.

◆ 드롭박스 링크를 이용한 악성코드 유포예

출처. 이스트 세큐리티 공식 블로그

 헐쓰. 나 드롭박스도 쓰는데!
 이젠 은행 보안메일만이 아니라, 드롭박스도 조심해야 하는 건가?!
 그치만, 난 드롭박스는 누군가와 공유하지 않고 나 혼자 사용하니까. 누가 초대했느니 링크 눌러보라느니 하면 그거야말로 쿨하게 무시하고 비웃어주면 되겠지.