2025년 5월 피싱 이메일 동향 보고서
본 보고서는 2025년 5월 한 달 동안 수집 및 분석된 피싱 이메일에 대한 유포 수량, 첨부파일 위협 등에 대한 통계와 동향 및 사례 정보를 제공한다. 아래 보고서는 원문 내용에 포함된 일부 통계자료 및 사례이다.
1) 피싱 이메일 위협 통계
2025년 05월 피싱 이메일 첨부파일 중 가장 많은 위협 유형은 피싱(Phishing, 72%)으로 공격자가 HTML 등의 스크립트로 로그인 페이지, 광고성 페이지의 화면 구성, 로고, 폰트를 그대로 모방하였으며 사용자가 자신의 계정과 패스워드를 입력하도록 유도하고 공격자 C2 서버로 전송하거나, 가짜 사이트로 접속을 유도한다. 이러한 피싱 유형은 스크립트 뿐 아니라 PDF 등의 문서에 하이퍼링크를 삽입하여 공격자가 제작한 피싱 사이트로 유도하기도 한다.
[그림 1] 피싱 이메일 위협 통계
이 밖에도 최근 6개월 동안 각 카테고리 별 샘플의 유포량 변화량에 대한 자료를 통해 피싱 이메일을 통해 발생하는 위협에 대한 최근 동향을 반영하였다. 또한, 피싱 이메일 내부에 존재하는 첨부파일의 확장자 별 통계 자료를 통해 피싱 이메일에 사용되는 파일 포맷에 대해 파악이 가능하다. 본 요약문에 언급되지 않은 이러한 통계자료는 ATIP 보고서 원문을 통해 확인할 수 있다.
2) 한글 이메일 유포 현황
피싱 이메일 중 한글로 구성된 사례를 분류하고, 해당 샘플에서 제목과 첨부파일의 파일명 정보를 일부 공개한다. 이를 통해 피싱 이메일 위협에서 자주 등장하는 키워드 정보를 파악할 수 있다.
[그림 2] 한글로 유포된 피싱 이메일 목록 일부
3) 피싱 이메일 유포 사례 분석
첨부파일의 포맷(Script, Document, Compress)별로 대표적인 사례를 분석하였다. 이를 통해 이번 달에 실제로 있었던 피싱 이메일 공격 사례를 확인할 수 있다. 이번 달에는 Script 첨부파일 포맷의 피싱 페이지(FakePage) 뿐만 아니라 Document 첨부파일을 이용한 취약점(Exploit) 유형의 악성코드가 피싱 이메일로 유포되었다. 문서 파일을 실행하면 수식 편집기 EQNEDT32.EXE 취약점(CVE-2017-11882)을 통해 Lokibot 악성코드가 실행된다. 또한 최근 PE 파일(.exe)이 ZIP에 압축되어 피싱 이메일로 유포되는 케이스가 증가하고 있다. C2 주소를 비롯한 분석 정보, 해당 악성코드를 유포했던 피싱 이메일의 본문 등 추가 정보는 ATIP 보고서 원문과 ATIP Notes에서 확인할 수 있다.
[그림 3] Document 포맷의 첨부파일로 유포된 악성코드
[그림 4] Compress 포맷의 첨부파일로 유포된 악성코드
본 게시물에서는 2025년 5월 피싱 이메일 동향 보고서 내용 중 일부를 공개하였다. ATIP 보고서 원문에는 피싱(FakePage)과 악성코드의 최근 유포량 추이, 첨부파일 확장자 별 통계와 유포량과 실제 피싱 이메일 공격에 대한 분석 정보 등 추가 콘텐츠가 존재한다.
