"월급 확인하세요" 메일 열었다가…회사 털리는 '마스터키' 넘겨줬다
등록 2026.04.26 08:00:00수정 2026.04.26 08:21:54
이스트시큐리티, 급여명세서 위장 지능형 피싱 공격 포착
'답장'인 척 제목 위장해 클릭 유도…보안망 비웃는 '번호판 갈이' 수법까지
PDF 안내문 뒤에 HTML 파일 숨기는 2단계 함정…계정 탈취 '마스터키'로
![[서울=뉴시스] 이스트시큐리티 시큐리티 대응센터(ESRC)는 급여명세서로 위장해 기업 계정을 훔쳐가는 지능형 공격을 포착했다고 밝혔다. 사진은 피싱 메일. (사진=이스트시큐리티 제공) 2026.04.24. photo@newsis.com *재판매 및 DB 금지](https://img1.newsis.com/2026/04/24/NISI20260424_0002120051_web.jpg?rnd=20260424154115)
[서울=뉴시스] 이스트시큐리티 시큐리티 대응센터(ESRC)는 급여명세서로 위장해 기업 계정을 훔쳐가는 지능형 공격을 포착했다고 밝혔다. 사진은 피싱 메일. (사진=이스트시큐리티 제공) 2026.04.24. [email protected] *재판매 및 DB 금지
[서울=뉴시스] 신효령 기자 = # 직장인 A씨는 최근 업무용 메일함을 확인하다 익숙한 제목의 메일 한 통을 발견했다. 예전에 본인이 보냈던 급여 관련 문의에 대한 답변인 줄 알고 의심 없이 첨부된 파일을 열었다. "상세 내역은 동봉된 파일을 클릭하라"는 안내에 따라 HTML 파일을 누르자 늘 쓰던 마이크로소프트 로그인 창이 떴다. 자신의 아이디까지 이미 입력돼 있어 별생각 없이 비밀번호를 입력했지만, 이는 A씨의 사내 계정을 노린 정교한 '덫'이었다.
직장인들이 한 달 중 가장 기다리는 '급여일'의 설렘을 악용한 사이버 공격이 갈수록 정교해지고 있다. 특히 최근에는 수사망을 피하려고 자동차 번호판을 계속 갈아 끼우는 범죄 차량처럼, 인터넷 주소를 실시간으로 바꿔 보안 프로그램을 피해가는 신종 수법까지 등장해 비상이 걸렸다.
보안 전문 기업 이스트시큐리티 시큐리티 대응센터(ESRC)는 급여명세서로 위장해 기업 계정을 훔쳐가는 지능형 피싱 공격을 포착하고 사용자들의 각별한 주의를 당부한다고 26일 밝혔다.
"내가 보낸 메일 답장인가?"…심리 파고드는 '지능형 낚시'
![[서울=뉴시스] 이스트시큐리티 시큐리티 대응센터(ESRC)는 급여명세서로 위장해 기업 계정을 훔쳐가는 지능형 공격을 포착했다고 밝혔다. 사진은 미끼 문서로 사용된 PDF 파일 화면. (사진=이스트시큐리티 제공) 2026.04.24. photo@newsis.com *재판매 및 DB 금지](https://img1.newsis.com/2026/04/24/NISI20260424_0002120085_web.jpg?rnd=20260424160231)
[서울=뉴시스] 이스트시큐리티 시큐리티 대응센터(ESRC)는 급여명세서로 위장해 기업 계정을 훔쳐가는 지능형 공격을 포착했다고 밝혔다. 사진은 미끼 문서로 사용된 PDF 파일 화면. (사진=이스트시큐리티 제공) 2026.04.24. [email protected] *재판매 및 DB 금지
이번 공격의 핵심은 아주 일상적인 업무 메일의 형태를 띠고 있어 수신자가 의심하기 어렵게 설계됐다는 점이다.
공격자는 제목 앞에 '[Re]:'를 붙여 수신자가 이전에 주고받았던 대화가 이어지는 것처럼 착각하게 만들었다.
수법 또한 치밀하다. 처음부터 위험한 파일을 보내면 보안 프로그램에 탐지될 가능성이 크기 때문에, 먼저 안전해 보이는 'PDF 안내문'을 보여주며 사용자를 안심시킨다. 이후 "진짜 상세 내역은 이 파일 안에 있다"며 HTML 파일을 다시 클릭하게 유도하는 2단계 전략을 구사해 사용자의 경계심을 서서히 무너뜨렸다.
잡으려 하면 주소 바뀐다…보안망 비웃는 '번호판 무한 교체'
보통의 보안 프로그램은 악성 사이트 주소(URL)를 블랙리스트에 등록해 접속을 차단한다. 하지만 이번 공격은 사용자가 클릭할 때마다 인터넷 주소를 실시간으로 만들어 낸다.
마치 범인이 도주 중에 추격을 피하기 위해 자동차 번호판을 무한대로 바꿔 다는 것과 같다. 특정 주소를 차단하더라도 다음 사람이 클릭할 때는 전혀 새로운 주소로 연결되기 때문에 기존의 방어 체계로는 대응이 사실상 불가능하다.
최종적으로 나타나는 가짜 로그인 페이지는 공식 사이트를 완벽히 복제했다. 특히 사용자의 이메일 주소가 로그인 창에 이미 입력되어 있는 경우가 많아, 많은 직장인이 의심 없이 비밀번호를 입력하게 된다.
![[서울=뉴시스] 이스트시큐리티 시큐리티 대응센터(ESRC)는 급여명세서로 위장해 기업 계정을 훔쳐가는 지능형 공격을 포착했다고 밝혔다. 사진은 피싱 페이지. (사진=이스트시큐리티 제공) 2026.04.24. photo@newsis.com *재판매 및 DB 금지](https://img1.newsis.com/2026/04/24/NISI20260424_0002120044_web.jpg?rnd=20260424153939)
[서울=뉴시스] 이스트시큐리티 시큐리티 대응센터(ESRC)는 급여명세서로 위장해 기업 계정을 훔쳐가는 지능형 공격을 포착했다고 밝혔다. 사진은 피싱 페이지. (사진=이스트시큐리티 제공) 2026.04.24. [email protected] *재판매 및 DB 금지
탈취된 계정은 사내 침투 '마스터키'…예방법은?
이스트시큐리티는 이러한 피해를 예방하기 위해 몇 가지 필수 수칙을 지켜야 한다고 강조했다. 우선 메일 제목에 속지 말고 실제 메일 주소가 공식 도메인과 일치하는지 대조할 것을 당부했다.
출처가 불분명한 메일의 HTML이나 실행파일(.exe)은 절대로 열지 말아야 하며, 비밀번호 외에 휴대전화 인증 등을 추가하는 2단계 보안을 반드시 설정할 것도 주문했다.
만약 실수로 비밀번호를 입력했다면 즉시 비밀번호를 변경하고, 포털이나 회사 시스템 설정에서 '모든 기기에서 로그아웃' 기능을 실행해 해커의 접속 세션을 강제로 종료해야 한다.
이스트시큐리티 관계자는 "이번 공격은 급여명세서라는 직장인들에게 친숙한 소재를 미끼로 삼아 보안망을 정교하게 우회했다"며 "비정상적인 로그인 요구나 파일 실행에 각별히 유의해야 한다"고 조언했다.
◎공감언론 뉴시스 [email protected]
