2025년 10월 피싱 이메일 동향 보고서
본 보고서는 2025년 10월 한 달 동안 수집 및 분석된 피싱 이메일에 대한 유포 수량, 첨부파일 위협 등에 대한 통계와 동향 및 사례 정보를 제공한다. 아래 보고서는 원문 내용에 포함된 일부 통계자료 및 사례이다.
1) 피싱 이메일 위협 통계
2025년 10월 피싱 이메일 첨부파일 중 가장 많은 위협 유형은 트로이목마(Trojan, 47%)로 이중 확장자나 정상적인 이름의 파일명 등을 활용하여 사용자가 실행하도록 유도하는 악성코드이다.
[그림 1] 피싱 이메일 위협 통계
이 밖에도 최근 6개월 동안 각 카테고리 별 샘플의 유포량 변화량에 대한 자료를 통해 피싱 이메일을 통해 발생하는 위협에 대한 최근 동향을 반영하였다. 또한, 피싱 이메일 내부에 존재하는 첨부파일의 확장자 별 통계 자료를 통해 피싱 이메일에 사용되는 파일 포맷에 대해 파악이 가능하다. 본 요약문에 언급되지 않은 이러한 통계자료는 ATIP 보고서 원문을 통해 확인할 수 있다.
2) 한글 이메일 유포 현황
피싱 이메일 중 한글로 구성된 사례를 분류하고, 해당 샘플에서 제목과 첨부파일의 파일명 정보를 일부 공개한다. 이를 통해 피싱 이메일 위협에서 자주 등장하는 키워드 정보를 파악할 수 있다.
[그림 2] 한글로 유포된 피싱 이메일 목록 일부
3) 피싱 이메일 유포 사례 분석
첨부파일의 포맷(Script, Document, Compress)별로 대표적인 사례를 분석하였다. 이를 통해 이번 달에 실제로 있었던 피싱 이메일 공격 사례를 확인할 수 있다. 이번 달에는 Script 첨부파일 포맷의 피싱 페이지(FakePage) 뿐만 아니라 Document 첨부파일을 이용한 Remcos RAT 악성코드가 피싱 이메일로 유포되었다. 문서 파일을 실행하면 추가 악성코드 다운로드하는 C2가 내부 OLE 객체에 존재하며, 악성코드 다운로드 후 실행시 Remcos RAT 악성코드가 실행된다. 또한 최근 JS 파일이 RAR에 압축되어 피싱 이메일로 유포되는 케이스가 증가하고 있다. C2 주소를 비롯한 분석 정보, 해당 악성코드를 유포했던 피싱 이메일의 본문 등 추가 정보는 ATIP 보고서 원문과 ATIP Notes에서 확인할 수 있다.
[그림 3] Document 포맷의 첨부파일로 유포된 악성코드
[그림 4] Compress 포맷의 첨부파일로 유포된 악성코드
본 게시물에서는 2025년 10월 피싱 이메일 동향 보고서 내용 중 일부를 공개하였다. ATIP 보고서 원문에는 피싱(FakePage)과 악성코드의 최근 유포량 추이, 첨부파일 확장자 별 통계와 유포량과 실제 피싱 이메일 공격에 대한 분석 정보 등 추가 콘텐츠가 존재한다.
