"국세청입니다, 세금 고지서 보냈습니다"…클릭했다간 '날벼락'

송혜리 기자 2023. 8. 5. 15:00
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

이메일 주소에 'etax'란 단어가 있어, 당연히 국세청이 세금고지서를 보냈을 것이라고 생각해 의심 없이 메일을 열었다.

'소명자료 목록'이란 첨부파일이 자신에게 필요한 것이라곤 생각하지 않았지만, 국세청 메일이라 내용을 확인했다.

해당 피싱 메일 발신주소는 국세청의 'admin@etax.go.kr'이지만, 실제로는 일본의 '도쿄플레이'라는 아동 놀이 관련 웹 사이트에서 발신됐다.

메일에는 '소명자료 제출요청 안내.zip'란 이름의 압축 파일이 첨부돼 있다.

음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

지니언스, 국세청 사칭 스피어피싱 사례 공개
'국세청 우편물 발송 알림'메일로 위장…해커그룹 '코니'로 추정
[서울=뉴시스]


【서울=뉴시스】송혜리 기자 = # 지난 6월 27일 16시, 기업가 A 씨는 '국세청 우편물센터 발송알림 안내'메일을 받았다. 이메일 주소에 'etax'란 단어가 있어, 당연히 국세청이 세금고지서를 보냈을 것이라고 생각해 의심 없이 메일을 열었다. '소명자료 목록'이란 첨부파일이 자신에게 필요한 것이라곤 생각하지 않았지만, 국세청 메일이라 내용을 확인했다.

앞서 국세청 우편을 제 때 확인하지 못해 세금이 체납돼 곤욕을 치른 적 있기 때문이다. 그리고 며칠 뒤, A 씨는 자신의 개인정보가 유출된 것을 알았다.

최근 발생한 스피어피싱 공격을 재구성한 내용이다. 지니언스 시큐리티 센터(GSC)는 이 같은 국세청 사칭 스피어피싱 메일을 발견했다며 이용자들의 각별한 주의를 당부했다.

기업 대표자들에 민감한 세금 관련 주제로 공격…LNK 클릭 시 주의 해야

지니언스에 따르면, 이 피싱 메일은 국세청 우편물 센터에서 발송한 알림 서비스로 위장했다.

국세청은 납세자에게 알릴 내용이 있을 때 납세자의 주소지로 우편물을 보낸다. 세금 고지서나 신고 안내문과 같은 우편이 대표적인데, 국세청에서 보낸 우편물을 납세자가 제때 확인하지 못한 경우에는 세금이 체납될 수 있다. 공격자는 이런 점을 악용해 스피어 피싱 공격 테마로 삼았다.

특히, 세금 관련 이슈는 기업 관계자에게 매우 민감한 소재 중 하나로, GSC에 따르면 실제 공격을 받은 대상자도 기업의 경영진이였던 것으로 알려졌다. GSC 관계자는 "수신자들의 불안 심리를 증폭시켜 첨부 파일을 빨리 클릭하게끔 유도하기 위한 위협 전략으로 보인다"고 말했다.

해당 피싱 메일 발신주소는 국세청의 'admin@etax.go.kr'이지만, 실제로는 일본의 '도쿄플레이'라는 아동 놀이 관련 웹 사이트에서 발신됐다. 공격자는 용의주도하게 수신자가 메일을 열람했는지 모니터링하기 위해 '웹 비콘(Web Beacon)' 이미지 태그를 메일 내부에 교묘히 삽입해 두기도 했다.

메일에는 '소명자료 제출요청 안내.zip'란 이름의 압축 파일이 첨부돼 있다. 압축 내부에는 총 3개의 파일이 존재하는데, 2개는 HWP 한컴 오피스 문서이며, 나머지 하나는 HWP 문서처럼 가장한 LNK 파일이다. 나머지 두 개의 HWP 파일은 이용자를 현혹하기 위한 일종의 미끼다. 악성 명령을 실행하는 LNK 파일명은 '소명자료 목록(국세징수법 시행규칙).hwp.lnk'다.

압축이 해제된 후 '소명자료 목록(국세징수법 시행규칙).hwp.lnk'파일이 실행될 경우, 본격적인 악성 명령이 작동하며 이용자 개인정보 등이 외부로 유출되는 피해를 입게 된다.

문종현 지니언스 시큐리티센터장은 "올들어 이같이 LNK 바로가기 파일을 이용한 스피어피싱이 증가하고 있는데, 윈도 기능 중 하나인 LNK를 악용한 것"이라며 "문제는 정품 소프트웨어를 사용하고 있거나, 최신버전으로 운영체제 등을 업데이트해 방화벽을 가동해도 해당 파일을 클릭하는 순간 악성코드가 다운로드 된다"고 설명했다.

금융정보 탈취 목적…해커그룹 '코니' 소행으로 추정

GSC는 이번 공격이 해킹그룹 코니(Konni)의 소행이라고 설명했다.

시스코의 보안연구조직 탈로스가 3여년 간의 추적 끝에 2017년 '코니'라 명명한 이 공격그룹은 지난 수 년 간 우리나라를 대상으로 해킹 공격을 지속하고 있다는 사실이 확인됐다.

주로 비트코인이나 북한·러시아, 그 외 여러 사회적 이슈나 특정 관심사 등 민감한 이슈를 공격 미끼로 사용하며, 금융정보 탈취 목적에 높은 우선순위를 두고 활동하는 것으로 알려졌다. 올해엔 세무 사무실에서 보낸 급여대장, 공정거래위원회 서면 실태조사 사전 예고 안내 통지문, 세무조사 통지서 등으로 위장한 공격이 있었다.

문종현 센터장은 "압축 내부에 포함된 파일은 실행하기 전에 유심히 관찰할 필요가 있다"면서 "눈속임 목적의 다중 확장자는 아닌지, 파일 사이즈가 비정상적으로 큰 경우는 아닌지 등 악용 소지 유무를 꼼꼼히 살펴보는 보안 습관을 통해 어느정도 사전 예방이 가능하다"고 설명했다.


☞공감언론 뉴시스 chewoo@newsis.com

Copyright © 뉴시스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?