오늘은 코레일(Korail) 직원들을 노린 것으로 추정되는 피싱 메일의 분석 내용을 정리합니다. 간단하게 확인해 보아야 할 부분으로 이메일 주소의 진위 여부와 본문 이미지의 구성 여부를 확인하는 절차가 포함되어 있습니다. 단순히 ??@korail(.)com 형태의 계정이 본인의 것으로 보이느냐를 확인하는 데서 시작되며, 계정 ID를 확인하라는 문구가 이미지 파일로 구성되어 있어 피싱 의심을 더욱 증대시킵니다.
이메일 헤더를 통해 드러난 실체를 살펴보면 발신 표시 이름은 KORAIL로 보이나 인증된 발신자는 samyangfoods.store 도메인 계정으로 확인되어 공식 코레일 계정이 아닙니다. 피싱 메일의 핵심은 이 부분에서 시작되며, 발신 경로의 신뢰성에 심각한 의문이 제기됩니다. 발신 서버가 AWS EC2로 보이지만 피싱 발송에 자주 악용되는 인프라이기도 하여 의심을 해소하기 어렵습니다.
또한 중간 경유 IP 의심 주소 85.121.215.235가 외부 발신으로 확인되며, 경유 IP가 코레일 내부의 정상 발송 경로와 일치하지 않는 점은 추가적인 주의 요인으로 작용합니다. DKIM은 정상적으로 검증되지 않았거나 서명 형식이 깨졌거나 조작 가능성이 있어 신뢰성에 의문이 남습니다. 또한 메시지-ID 역시 일반적인 도메인 기반 형식이 아니어서 위조 가능성을 뒷받침합니다.
안랩 MDS-MTA를 통과한 부분이 확인되며 피싱 주소는 hxxp://bellingham-stanley.ru/wp-includes/Text/ablkqnw/1gwnqls/gcsynwz/alk/koreee.html#[email protected] 형태로 나타납니다. 피싱 사이트는 실제 코레일 사이트를 배경으로 구성되어 비밀번호 입력을 유도해 정보를 탈취하려는 목적임이 확인됩니다. 이러한 구성은 비교적 단순하지만 특정 조직을 대상으로 한 정교한 시도 가능성을 시사합니다.
전반적으로 어떤 조직이 관여하는지는 불확실하나 코레일을 노리는 시도가 점차 드러나 보이며, 피싱 메일의 기술적 요소와 외부 인프라의 사용 양상을 통해 경계가 강화되어야 함이 드러납니다. 따라서 수신 금지 및 의심 메일의 신속한 분석과 차단, 도메인 및 IP 이력 점검 등 체계적 대응이 필요합니다. 또한 피싱 사이트에 접근해 비밀번호를 입력하는 행위 자체가 심각한 보안 위협임을 인식하고 즉시 차단 조치를 시행해야 합니다.
