"발신지까지 동일" 국세청 사칭 악성 이메일, 속지 않으려면…

머니투데이 박계현 기자 2020.05.27 17:39
글자크기

실제 국세청 홈택스 이메일주소 활용…2중 압축 파일명도

국세청 홈택스 전자세금계산서 발급 안내로 사칭한 이메일 화면/사진제공=이스트시큐리티국세청 홈택스 전자세금계산서 발급 안내로 사칭한 이메일 화면/사진제공=이스트시큐리티


이스트시큐리티가 '국세청 전자세금계산서 발급 메일 안내'로 위장한 악성 이메일이 국내 공공기관과 기업 종사자를 대상으로 유포되고 있다고 27일 밝혔다.



이번 공격은 악성 파일을 첨부한 이메일을 특정 대상에게 발송하는 '스피어 피싱' 이메일 공격 방식을 사용하고 있다.

기존 국세청 홈택스(hometax) 사칭 공격에서 한 단계 진화해, 발신지 주소까지 실제 홈택스 도메인처럼 정교하게 조작한 것이 특징이다.



이스트시큐리티 관계자는 "이메일 발신지 주소가 실제 도메인으로 위장되어 있을 경우, 메일 수신자가 이메일의 악성 여부를 판단하기 어렵기 때문에 공격에 감염될 가능성이 증가한다"며 "이용자들이 각별히 주의할 필요가 있다"고 당부했다.

이메일에 첨부된 압축 파일은 '.pdf.zip'과 같이 이중 확장자를 사용하고 있다. 사용자 PC의 탐색기 폴더 옵션 설정이 확장자를 표시하지 않게 설정돼 있을 경우 더욱 실제 PDF 파일처럼 보인다.

만약 사용자가 해당 압축파일을 풀고 내부 실행 파일을 실행할 경우, 폼북(Formbook) 유형의 악성코드에 감염돼 기업 내부의 다양한 해킹 피해로 이어질 수 있다.


이스트시큐리티 ESRC(시큐리티대응센터)는 최근 이와 유사한 위협 사례가 다수 포착되고 있다고 밝혔다. 홈택스 사칭 뿐만 아니라 국내 시중은행의 결제 전표 등을 위장한 사례도 발견됐다.

문종현 ESRC 이사는 "국세청·경찰청·법원 등 국가기관을 사칭한 악성 이메일이 잊을만하면 등장하고 있다"며 "이번처럼 이메일 발신지의 도메인을 실제 국가 기관 주소로 조작하는 등 국내 기업과 기관 종사자를 대상으로 하는 APT 공격이 날로 정교해지고 있기 때문에, APT 공격에 철저히 대비해야 한다"고 말했다.

이어 "기업과 기관 종사자가 스피어피싱 이메일을 열람하고 첨부파일을 열어보게 되면, 해당 임직원의 개인정보는 물론 기업 내부 정보 유출로 이어지는 피해가 우려되는 만큼 이메일 확인 역시 주의를 기울여야 한다"고 덧붙였다.
TOP