"국세청입니다".. 코인투자자 정보 뜯어간 北해커들, 신분증도 유출

국세청 세무조사 출석요구 안내문으로 가장한 해킹 메일 화면. /사진=이스트시큐리티

국세청을 사칭한 북한 배후 사이버 공격이 발견돼 주의가 요구된다.

17일 보안기업 이스트시큐리티에 따르면 이번 공격은 지난 12일 국세청 공식 홈페이지 공지 사항을 통해 알려졌던 이른바 '국세청 사칭 세무조사 출석요구 안내통지문 해킹메일'을 통해 수행된 해킹 공격의 일환으로 확인됐다.

공격자들은 국세청에서 발송된 안내문 메일로 위장하고 발신자 역시 '국세청 <hometaxadmin@nts.go.kr>' 주소를 사용하는 등 정교한 수법을 보였다. 발신지 공식 주소 여부는 해킹 메일을 구분하는 방법이지만, 이메일 발송 서버를 구축하거나 별도 설정해 조작할 수 있다. 실제 주소를 도용하는 경우도 있어 발신지 주소를 신뢰해서는 안된다고 이스트시큐리티는 당부했다.

이번 공격은 실제 국세청 홈택스의 세무조사 신고 통지문처럼 보이도록 내용을 구성했다. '세무조사 신고서류안내' PDF문서 파일이 첨부된 것처럼 보이나, 해당 파일은 실제 메일에 첨부되지 않았다. 공격자들은 국내 특정 경제문화교류협회 사이트와 통신한 뒤 네이버 계정 피싱용 서버로 연결해 계정 탈취를 시도했다.

해커 서버에서 발견된 주민등록증, 운전면허증, 사업자등록증 화면 (일부 모자이크 처리). /사진=이스트시큐리티

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 해킹 경유지로 사용된 공격자 서버에는 특정인의 주민등록증, 운전면허증, 사업자등록증 등도 함께 발견됐다. ESRC는 가상자산(암호화폐) 투자자 일부가 피싱 공격을 입은 후 이메일에 저장된 개인정보가 추가 유출됐을 가능성에 무게를 두고 후속 분석 작업을 진행 중이다.

이스트시큐리티는 이번 공격을 외화벌이 목적으로 진행된 북한 배후 사이버 공격으로 추정하고 있다. ESRC는 "공격에 악용된 서버는 '27.102.101.26' IP주소로 연결되는데 주소 사용 이력이 다수 존재한다"며 "당시 일부 도메인이 북한 연계 해킹 그룹인 '탈륨' 또는 '김수키'에서 사용한 것으로 보고된 바 있다"고 말했다.

문종현 이스트시큐리티 ESRC 센터장(이사)는 "이번처럼 포털 계정 피싱 공격뿐 아니라 세무조사 신고 서류 안내와 출석 요구처럼 위장한 악성 파일도 다수 보고된 바 있는데, 해당 공격은 일명 '코니(Konni·북한 사이버 공격 조직)' 캠페인으로 분류돼 있다"며 "탈륨(김수키) 공격과 코니 캠페인 간의 연관성을 면밀히 조사 중"이라고 덧붙였다.

홍효진 기자 hyost@mt.co.kr

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>