도큐사인 사칭 피싱 급증…‘크리스마스 대출’로 개인정보 노린다

연말을 맞아 사이버 보안 전문가들이 경고음을 울리고 있다. 보안 기업 포스포인트(Forcepoint) 산하의 X랩스(X-Labs) 연구팀은 최근 도큐사인(Docusign) 사칭 이메일과 허위 대출 광고가 결합된 피싱 공격이 급증하고 있다며 주의를 당부했다. 이번 공격은 기업과 일반 소비자 모두를 대상으로 하는 이중 전략으로, 한층 교묘한 수법을 통해 이메일 로그인 정보와 민감한 개인정보를 동시에 노린다.

이번에 발견된 피싱 캠페인은 도큐사인 공식 로고와 이메일 양식을 위조해 사용자가 ‘문서 검토’ 버튼을 클릭하도록 유도한다. 해당 버튼에는 실제 도큐사인과 무관한 도메인(jritech.shop 등)이 설정돼 있으며, 사용자 클릭 시 패스트리(Fastly), 글리치(Glitch), 서지(Surge.sh) 등 일시적 호스팅 서비스를 경유해 이메일 인증 정보를 탈취하는 페이지로 이동된다. 연구팀은 이메일 주소, 버튼 뒤 URL, 호스팅 경로 등에서 도큐사인의 실제 인프라와 일치하지 않는 경우 의심할 것을 권고했다.

특히 이번 공격은 피싱 메일과 함께 연말 재정 압박을 파고든 허위 대출 광고를 혼합해 더욱 정교해졌다. ‘크리스마스 대출’이라는 이름으로 유포된 이메일들은 christmasscheercash.com 같은 링크를 통해 피해자들을 가짜 대출 신청 페이지로 유도했으며, 신청이 진행될수록 금융 정보, 은행 계좌번호 등 고급 개인 정보가 요구되는 방식으로 발전했다. 심지어 한 번 정보를 입력한 사용자들은 또 다른 유사 대출 사이트로 리디렉션돼, 반복적으로 같은 정보를 탈취당할 위험에 노출된다.

X랩스 측은 “이번 캠페인은 연말 시즌에 특화된 심리적 유인을 노리고 있다”며 “휴가철 결산, 마케팅 메시지 응답, 예산 처리와 같은 일상적인 업무 흐름에 자연스럽게 스며든다는 점에서 매우 위험하다”고 경고했다. 공격자들의 주요 목적은 이메일 사용자 인증 정보를 확보해 기업 네트워크에 침입하거나, 대규모 개인정보 도용을 통해 금전적 이익을 얻는 것이다.

이에 따라 전문가들은 도큐사인을 사칭한 모든 이메일을 ‘의심 메일’로 간주하고, 발신 도메인 확인은 물론 버튼 클릭 시 실제 링크 주소를 반드시 검토하라고 조언했다. 특히, Fastly나 Glitch처럼 도큐사인과 관련 없는 인프라를 통해 리디렉션되는 경우 의심해야 하며, 무료 이메일 계정에서 발송된 대출 제안 메일이나 회신 주소가 일치하지 않는 이메일은 즉시 삭제할 것을 권장했다.

아울러 보안 담당자들은 트래킹 링크를 통한 사용자의 비정상 전환 경로 여부를 반드시 모니터링해야 한다. 단순한 마케팅 이메일처럼 보이더라도 최종적으로는 금융정보나 개인식별번호 입력으로 이어진다면 고위험 위협으로 간주해야 한다는 것이 전문가들의 입장이다.

이번 보고서는 연말 시즌이 해커들에게는 또 하나의 황금기라는 점을 상기시킨다. 사용자는 연말 피로감이나 긴박한 업무에 몰입되기 앞서, 이메일 하나하나에 대한 경계심을 놓지 않아야 할 때다.