Hoax E-mail은 이메일을 통해 피해자에게 민감한 거짓 정보를 전달하여 속이고 금전적인 요구를 하는 수법이다. Hoax E-mail은 오래전부터 사용되어왔지만 현재까지 지속적으로 피해자가 발생되고 있는 사회공학적 공격이다. 일반적으로 공격 대상을 특정하지 않은 무차별적인 공격으로, 이메일 주소만 외부에 노출이 되어도 누구나 공격 대상이 될 수 있다.  과거에는 메일을 보낸 사람과 받는 사람의 정보가 동일한 형태였으나 최근 들어 메일을 보낸 사람이 달라진 형태가 확인되고 있다.

[그림 1] Hoax E-mail Case_보낸사람과 받는사람이 동일

[그림 1]은 최근 발생한 Hoax E-mail 사례의 본문 자료이다. 내용을 보면 피해자가 해킹된 사이트 방문을 통해 악성 소프트웨어에 감염됐다고 하며 민감 정보를 빌미로 1,500달러(한화 약 170만원) 상당의 비트코인을 요구하고 있다.

[그림 2] Hoax E-mail Case_보낸사람과 받는사람이 다름

[그림 1]과 [그림 2]를 비교해보면 첫 문단과 비트코인 주소를 제외하면 글 내용은 모두 같다. 그리고 두 케이스 모두 글 내용을 읽다 보면 일반적으로 사람이 작성한 내용 같지 않고 번역기를 통해 작성된 것 같이 어색한 어휘를 구사하고 있다. 이러한 근거를 바탕으로 해외에서 활동하는 공격자가 여러 나라 언어로 번역기를 돌려서 전 세계 불특정 다수에게 Hoax E-mail을 유포하고 있는 것으로 추정된다.

Hoax E-mail을 판단하기 위한 몇 가지 방법을 제시하고자 한다.

> 이메일 내용 속 수신자를 특정할 만한 자세한 정보가 없을 경우
> 사용하는 어휘가 매우 어색해 보이는 경우
> 금전 지불을 매우 촉박한 시간으로 제한하여 사용자의 판단을 흐리게 하는 경우
> 송신자의 이메일 주소나 비트코인 지갑 주소, 키워드 등을 검색하여 유사한 수법으로 공격한 사례가 있는 경우

Mitigation

> Hoax E-mail 수신 시 즉시 삭제한다.
> Hoax E-mail로 판단되는 이메일을 수신했을 때, 기업의 경우 시스템 담당자에게 해당 이메일 수신 내용을 알리고 외부에 노출된 이메일 계정에 대한 조치를 취하는 동시에 회사 내부 직원들에게 Hoax E-mail 수신을 경고한다.
> Hoax E-mail 내에 첨부된 파일을 절대 다운로드받지 않아야 하며 본문 내용에 포함된 링크 주소로 접속하지 않는다.
> Anti Virus 프로그램을 사용하여 PC에 존재할 수 있는 악성 프로그램 검사를 한다.

[참고자료]

https://blog.alyac.co.kr/3625
https://www.cisecurity.org/blog/how-to-identify-an-email-hoax-what-to-do-if-you-fall-victim/

통합보안관제센터 Team MIR