코레일 4월 급여 명세서로 위장한 피싱 메일의 특징과 흐름이 자세히 분석된다. 발신 화면에는 “AM Korail, 2026년 4월 급여명세서 파일.pdf” 같은 첨부 표기가 보이고, 헤더는 코레일처럼 보이도록 위장되지만 From 주소가 Hr_account2656@hilywil(.)com으로 실제 코레일 도메인과 일치하지 않는 점이 눈에 띈다. 수신자 주소 역시 korail.com 도메인과의 불일치를 확인할 수 있다. 메일 제목은 4월 급여 지급 안내로 일반적인 피싱 메일의 양상을 따른다.
발신 IP와 중계 IP의 흐름을 통해 외부 서버에서 발송되었음을 확인하는 한편, 보안장비를 경유한 흔적도 남아 있어 피싱 메일로의 의심을 높인다. HELO 도메인 역시 Korail과 무관한 것으로 나타나고, 아울러 보안장비로 확인되는 AhnLab MDS-MTA, CrediShield를 거친 흔적이 존재한다. 헤더 분석만으로도 피싱 정황이 어느 정도 드러나지만, 피싱 사이트 자체의 구조가 더 중요한 이유다.
피싱 사이트의 구체적 구조는 HTML 언어 코드 대신 已下架로 표기된 부분이 확인되며, 웹 소스상에 계정 탈취용 피싱 스크립트가 포함되어 있음을 시사한다. 수집 대상은 이메일 주소, 패스워드, 브라우저 정보, 언어 설정, MX 레코드, 피해자 도메인 메일 서버 정보, 접속 IP 및 지역 정보 등으로 구성된다. 공격자는 Google Cloud Storage에 HTML 피싱 페이지를 올려두고 로그인 정보를 유도하는 방식으로 작동한다는 점이 드러난다.
피싱 메일의 트래픽 흐름은 브라우저가 Telegram Bot API로 메시지를 전송하는 구조를 포함하고, 공격자가 Telegram을 통해 실시간으로 수집 정보를 전달하는 형태를 보인다. HTTP Debugger Pro를 통해 피싱 정보가 확인되며, 수집된 데이터는 mail, password, 브라우저, 언어, IP 정보 등으로 정리되어 전송된다. 트래픽의 출처와 출발 경로, 전송 도메인, Referer 정보까지 악용 양상이 상세히 기록된다.
결론적으로, 실제 코레일 직원으로 위장한 아이디라도 비밀번호 변경 로그를 확인하는 등 내부 보안 절차를 통해 자료 유출 여부를 점검하는 습관이 필요하다. 메일 정보의 세부 확인과 함께 사내 보안 교육의 강화가 중요하며, 중국 관련 불필요한 대화나 이슈 제기는 경계해야 한다는 점이 강조된다. 피싱 위협에 대한 인식과 대응 체계가 실무 현장에서 재점검되어야 한다는 메시지가 남는다.
