국세청 통지문 열었더니…"가상자산 투자자 노린 사이버 공격"

해킹 경유지서 주민등록증 등 발견돼…"北 배후 추정"

[아이뉴스24 김혜경 기자] 비트코인 등 가상자산 투자자를 겨냥한 사이버 공격이 포착돼 각별한 주의가 요구된다.

국세청 세무조사 출석요구 안내문으로 가장한 해킹 메일 화면. [사진=이스트시큐리티]

이스트시큐리티는 국세청 발송 안내문으로 위장한 이메일 피싱 공격을 발견했다고 17일 발표했다. 이메일 제목은 '세무조사 출석요구 안내통지문', 발신자는 실제 국세청 주소와 동일한 'hometaxadmin@nts.go.kr'로 나타났다.

보통 해킹 메일을 구분하는 방법은 발신지의 공식 주소 여부를 확인하는 것이다. 다만 공격자가 이메일 발송 서버를 구축하거나 별도 설정을 통해 실제 주소처럼 보이도록 조작이 가능하므로 발신지 주소를 신뢰해서는 안 된다.

이번 공격은 실제 국세청 홈택스의 세무조사 신고 통지문처럼 본문을 담고 있으며, '세무조사 신고서류안내.pdf' 문서 파일이 첨부된 것처럼 보여진다. 다만 해당 파일은 실제 메일에 첨부되지는 않고, 한국의 특정 경제문화교류협회 사이트와 통신한 후 네이버 계정 피싱용 'navearcorps[.]help', 'mybox-naves[.]com' 서버로 연결. 계정 탈취를 시도했다.

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 해킹 경유지로 사용된 공격자 서버에는 특정인의 주민등록증과 운전면허증, 사업자등록증 등도 발견됐다. 이는 가상자산 투자자 일부가 피싱 공격을 받은 후 이메일에 저장된 개인정보가 추가 유출됐을 가능성이 높다고 ESRC는 설명했다.

공격에 악용된 'navearcorps[.]help' 서버는 '27.102.101.26'이라는 IP 주소로 연결된다. 지난해 4월 발견된 'goooglesecurity[.]com', 'naaverascorp[.]com' 등의 주소 사용 이력이 존재한다. 당시 발견된 일부 도메인의 경우 북한 연계 해킹 그룹인 '탈륨(김수키)'에서 사용한 것으로 보고된 바 있다.

ESRC 센터장 문종현 이사는 "확인된 피해 대상자가 가상자산 투자자라는 점에서 외화벌이 목적으로 진행된 북한 배후 사이버공격으로 추정하고 있다"며 "세무조사 신고 서류 안내, 출석 요구처럼 위장한 악성파일이 다수 보고되고 있는 상황"고 말했다.

이어 "해당 공격은 '코니(Konni)' 캠페인으로 분류된다"며 "현재 탈륨 공격과 코니 캠페인 간 연관성을 면밀히 조사하고 있다"고 덧붙였다.

/김혜경 기자(hkmind9000@inews24.com)

▶네이버 채널에서 '아이뉴스24'를 구독해주세요.

▶재밌는 아이뉴스TV 영상보기▶아이뉴스24 바로가기

[ⓒ 아이뉴스24 무단전재 및 재배포 금지]