이스트시큐리티, 국세청 사칭 피싱 공격 주의 당부
상태바
이스트시큐리티, 국세청 사칭 피싱 공격 주의 당부
  • 석주원 기자
  • 승인 2023.01.17 17:16
  • 댓글 0
이 기사를 공유합니다

이스트시큐리티가 비트코인 등 가상자산 분야 투자자를 노리는 사이버 공격을 발견했다고 밝혔다.

이번 공격은 1월 12일, 국세청 공식 홈페이지 공지 사항을 통해 알려진 국세청 사칭 '세무조사 출석요구 안내통지문' 악성 메일과 동일한 해킹 공격으로 보인다. 이 이메일은 발신자를 ‘국세청 <hometaxadmin@nts.go.kr>’ 주소로 진짜처럼 보이게 정교하게 조작 후 공격을 수행했다.

보통 해킹 메일을 구분하는 방법 중 하나가 발신지의 공식 주소 여부를 확인하는 것인데, 공격자가 이메일 발송 서버를 구축하거나 별도의 설정을 통해 실제 주소처럼 보이게 조작이 가능하다. 실제 주소를 도용하는 경우도 있어 발신지 주소만으로 100% 신뢰해서는 안된다.

메일에는 ‘세무조사 신고서류안내.pdf’ 문서 파일이 첨부된 것처럼 보이지만, 해당 파일을 클릭하면 파일은 다운로드되지 않고 국내의 특정 경제문화교류협회 사이트와 통신한 후 네이버 계정 피싱용(‘navearcorps[.]help’, ‘mybox-naves[.]com’) 서버로 연결해 계정 탈취를 시도한다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 해킹 경유지로 사용된 공격자 서버에서는 특정인의 주민등록증, 운전면허증, 사업자등록증 등도 함께 발견됐는데, 이는 가상자산 투자자 일부가 피싱 공격을 입은 후 이메일에 저장된 개인정보가 추가 유출됐을 가능성이 있다고 분석했다.

공격에 악용된 ‘navearcorps[.]help’ 서버는 ‘27.102.101.26’ 아이피 주소로 연결되어 있는데, 작년 4월 경 ‘goooglesecurity[.]com’ 주소를 포함해 ‘naaverascorp[.]com’, ‘naversinfo[.]help’, ‘nidnavesecorp[.]help’, ‘ninavaracorp[.]site’, ‘mybox-navers[.]com’, ‘infonavera[.]com’, ‘nidnaavers[.]com’ 주소 사용 이력이 존재한다. 당시 일부 도메인이 북한 연계 해킹 그룹인 탈륨 또는 김수키에서 사용한 것으로 보고된 바 있다.

이스트시큐리티는 확인된 피해 대상자가 주로 비트코인 등 가상자산 분야 투자자라는 공통점이 발견되된 점에 주목해 외화 벌이 목적으로 수행한 북한 배후 사이버 공격으로 추정하고 있다.

이스트시큐리티 ESRC 센터장 문종현 이사는 “이번 국세청 문서처럼 위장한 포털 계정 피싱 공격뿐만 아니라, 세무 조사 신고 서류 안내와 출석 요구처럼 위장한 악성 파일도 다수 보고된 바 있는데, 해당 공격은 일명 코니(Konni) 캠페인으로 분류되어 있다. 탈륨(김수키) 공격과 코니 캠페인 간의 연관성을 면밀히 조사 중이다”라고 덧붙였다.

국세청 세무 조사 출석 요구 안내문으로 가장한 해킹 메일 화면(출처: 이스트시큐리티 제공)
국세청 세무 조사 출석 요구 안내문으로 가장한 해킹 메일 화면(출처: 이스트시큐리티 제공)
해커 서버에서 발견된 주민등록증, 운전면허증, 사업자등록증 화면(출처: 이스트시큐리티 제공)
해커 서버에서 발견된 주민등록증, 운전면허증, 사업자등록증 화면(출처: 이스트시큐리티 제공)

 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.