국세청 세무조사 사칭 피싱 메일을 통해 유포 중인 백도어 악성코드

 

최근 국세청 세무조사를 사칭한 피싱 메일을 통해 악성코드가 유포 중인 것으로 확인되었습니다.

 

공격자는 피싱 메일 내 악성 링크를 통해 국세청 세무조사 통지 화면으로 위장한 피싱 사이트로 접속하게 한 뒤 해당 페이지에서 악성파일을 다운로드하도록 유도합니다.

 

개요 및 유입 경로

 

최근 기업 담당자를 대상으로 ‘국세청 세무조사 통지’를 사칭한 피싱 메일이 유포되었습니다. 

사용자가 메일 내 링크를 클릭하면 국세청을 사칭한 피싱 사이로 연결되며, 세무조사 안내 문구와 함께 [조사 명단 다운로드] 버튼을 노출하여 클릭을 유도하는 방식입니다.

 

[그림 1] 피싱  사이트

 

버튼 클릭 시 ‘기업 조사 명단’.zip’ 파일이 다운로드 되며, 압축 파일 내에는 다음과 같은 3개의 파일이 존재합니다. 

• 기업 조사 명단.exe: 정상 서명된 Intel 그래픽 유틸리티(vulkaninfo.exe) 파일
• vulkan-1.dll: 정상 실행 파일(기업 조사 명단.exe)이 실행될 때 자동으로 로드되는 악성 DLL 파일
• vulkan-1.bin: 암호화된 쉘코드,백도어 페이로드,C2 설정 정보가 담긴 데이터 파일
  
  

[그림 2] 기업 조사 명단.zip 내부 파일

 

공격 흐름 

 

1) DLL 사이드로딩 (Sideloading) 

사용자가 ‘기업 조사 명단.exe’ 파일을 실행하면 DLL 사이드로딩 기법을 통해 동일 경로에 위치한 vulkan-1.dll 파일이 로드되어 실행됩니다.

DLL 사이드로딩(Sideloading)은  Windows의 DLL 검색 순서(DLL Search Order)를 악용하는 공격 기법입니다. 
프로그램 실행 시 필요한 DLL을 찾기 위해 여러 경로를 검색하는데, 정상 프로그램과 동일한 경로내 악성 DLL 파일을 위치시켜 악성 DLL 파일이 먼저 로드되도록 조작하는 방식입니다.

 

2) vulkan-1.bin 파일 내부 페이로드 복호화

실행된 DLL 파일은 동일 경로의 vulkan-1.bin 파일에서 데이터를 읽어온 후, RC4를 변형한 알고리즘(Modified RC4)을 사용하여 쉘코드와 백도어 페이로드를 복호화합니다.

 

vulkan-1.bin 파일 내부는 크게 세 영역으로 구성되어 있습니다.

 

구성	크기	설명
쉘코드	3,992 bytes	암호화된 PE를 복호화하고 메모리에서 직접 로드
암호화된 백도어 DLL	291,840 bytes	변형 RC4 암호화 (키: 727e032b7352365566f69b9851)
암호화된 C2 설정값	2,696 bytes	변형 RC4 암호화 (키: 01 02 03 04 05) C2 서버 주소, 서비스명 등 포함

[표 1] vulkan-1.bin 파일 내부 구조

 

 

3) 백도어 실행 및 지속성 등록 

복호화된 쉘코드가 메모리에서 직접 백도어(RAT)를 실행하며, 실행된 백도어는 C:\Program Files\Common Files\ 경로에 구성 파일들 (444.exe, vulkan-1.dll, vulkan-1.bin)을 복사하고, Microsoft Compatibility system이라는 이름으로 서비스를 등록합니다. 

 

해당 서비스명은 Microsoft 정상 서비스와 유사하게 보이도록 의도적으로 설정한 것으로 판단되며, 이후 시스템 재부팅 시에도 444.exe 파일이 자동 실행되어 악성 DLL을 다시 로드하는 구조입니다. 

 

vulkan-1.bin 파일 내부의 C2 설정값은 %APPDATA%\install\install.cfg 파일로도 저장되어 이후 실행 시 재로드하는 방식이며, C2 서버에서 해당 파일을 교체하는 방식으로 C2 주소를 원격에서 업데이트할 수 있습니다. 

 

최종 페이로드(Backdoor) 주요 기능

 

해당 악성코드는 원격 제어,권한 상승,프로세스 인젝션 등을 수행할 수 있는 백도어로 다음과 같은 악성행위를 수행합니다. 

• 프로세스 인젝션: 실행 중인 정상 프로세스의 메모리에 악성 코드를 삽입하여 실행하는 인젝션 기능 지원
• 권한 상승 및 토큰 탈취: 현재 로그온 된 다른 사용자 세션의 토큰을 탈취하여 해당 권한으로 프로세스를 실행
• C2 통신: 아웃바운드 연결(리버스 쉘)과 인바운드 대기(바인드 쉘)를 모두 지원, 암호화 및 압축 라이브러리(libwebsockets, zlib)를 내장하여 외부 의존성 없이 독립적으로 동작 가능 
• 파일 시스템 조작 및 정보 수집: 감염 시스템 내 파일 조작 및 외부 탈취가 가능하며, 프로세스,서비스 목록 등 시스템 정보 수집
• RPC를 통한 내부망 횡적 이동: RPC(Remote Procedure Call, 원격 프로시저 호출)는 네트워크로 연결된 다른 컴퓨터의 기능을 원격으로 실행할 수 있게 해주는 통신 방식으로, 최초 감염 시스템을 통해 내부망의 다른 시스템으로 이동 가능
• 안티 디버깅 및 안티 분석: 커널 레벨에서 디버거 탐지 및 가상 환경 감지 시 블루스크린(BSOD)을 유발하여 동적 분석 무력화
  
  

공격자 서버에서 확인된 추가 파일

 

분석 과정에서 공격자 인프라를 조사하던 중 공격자의 서버에서 다수의 변종 파일을 발견했으며, 다른 언어로 제작된 피싱 사이트와 피싱 메일도 확인되었습니다. 

 

해당 피싱 사이트는 이번 공격과 동일한 방식으로 말레이시아 국세청(LHDN)을 사칭한 것으로 확인되었습니다.

 

[그림 3] 말레이시아 국세청 사칭 피싱  사이트

 

피싱 메일은 인도 공영어 중의 하나 인 힌디어로 작성되었으며, 인도 법원 통지 내용으로 인도 정부 소득세청으로 위장했습니다.

 

[그림 4] 힌디어 로 제작된 피싱 메일

 

공격자 서버에서 발견된 변종 파일들을 분석한 결과 최초 공격이 작년 12월 중순부터 시작되어 최근까지도 업데이트를 진행하며 지속적으로 공격을 진행중인 것으로 파악됩니다.

 

파일명	마지막 수정 일시 (LastModified)
1032451.zip	2025-12-15 06:19:30
1045781.zip	2025-12-15 06:19:32
12025521.zip	2025-12-16 00:43:10
0305.zip	2026-03-04 17:43:29
2026 सूचना.zip	2026-03-05 14:17:31
1202154.rar	2026-03-08 14:17:02
51055334.zip	2026-03-09 02:24:28
88999668/51055334 (1).zip	2026-03-09 09:15:13
5102320.zip	2026-03-09 09:28:15
510553345.zip	2026-03-10 03:32:05
5105533456.zip	2026-03-10 03:44:04
510553888.zip	2026-03-10 06:25:57
공지사항.rar	2026-03-11 06:24:36
점검 대상 명단 (2).zip	2026-03-16 01:36:35
기업 조사 명단.zip	2026-03-17 03:45:05
List of Companies Under Investigation(1).zip	2026-03-17 18:59:45
기업 명단3.zip	2026-03-18 20:04:14
기업 명단5.zip	2026-03-19 05:24:47

[표 2] 공격자 서버에 업로드 된 변종 파일 리스트

 

• 로더로 사용된 정상 파일
  - nvgpu_x64.exe 
  - SandboxieCrypto.exe 
  - 444.exe 
  - クリックして閲覧.exe 
  
  
• DLL 사이드로딩으로 사용된 악성 파일
  - nvml.dll 
  - SbieDll.dll 
  - vulkan-1.dll
  
  
• 지속성유지를 위해 사용된 작업 스케쥴러명
  - Microsoft Compatibility system 
  -.NET Framework NGEN v4.0.30417 
  -WindowsSafe
  
  
• 유포에 사용된 파일명
  - 0305.zip (27.124.45.153_压缩_680.exe) 
  - 2026 सूचना.zip (2026 सूचना.exe) 
  - 032451.zip (1032451.exe) 
  - 1045781.zip (1045781.exe) 
  - 1202154.rar (Court indictment.exe) 
  - 5102320.zip (51055334.exe) 
  - 12025521.zip (12025521.exe) 
  - 51055334.zip (51055334.exe) 
  - 510553345.zip (DpcpAJ.exe) 
  - 5105533456.zip (118.107.43.25.exe) 
  - List of Companies Under Investigation(1).zip (Court indictment.exe) 
  - 공지사항.rar (DpcpAJ.exe) 
  - 기업 명단3.zip (기업 명단.exe) 
  - 기업 명단5.zip (기업 명단5.exe) 
  - 기업 조사 명단.zip (기업 조사 명단.exe) 
  - 점검 대상 명단 (2).zip (조회.exe) 
  - List of Companies.zip (List of Companies.exe)
  - 기업 조사 대상 명단.zip (기업 조사 대상 명단.exe)

 

이는 공격 대상이 국내에 국한되지 않고 아시아 내 다른 국가까지 포함하고 있음을 시사하며, 이번 공격이 특정 국가를 대상으로 한 일회성 공격이 아닌 다수의 국가를 겨냥한 광범위한 캠페인일 가능성이 높습니다. 

 

공격 특징

• 사회공학적 공격 
  국세청을 사칭하여 '세무조사'라는 심리적 압박 소재로 사용자의 파일 실행을 유도합니다. 취약점 악용 없이 사용자가 직접 악성 파일을 실행하도록 설계된 전형적인 사회공학적 기법입니다. 
  
  
• 정상 소프트웨어 악용
  Intel의 정상 서명된 프로그램을 통해 함께 배포된 악성 DLL파일이 실행되는 방식으로 정상 파일을 악용해 보안 솔루션의 탐지를 우회합니다. 
  
  
• 위장을 통한 지속성 유지 
  Microsoft Compatibility system이라는 서비스명과 C:\Program Files\Common Files\ 경로를 사용하여 정상 시스템 구성요소로 위장합니다. C2 주소 원격 업데이트 구조를 통해 특정 IP 차단에도 유연하게 대응 가능합니다. 
  
  
• 지속적/다국가 대상 공격  
  공격자 서버 분석 결과, 최초 공격은 작년 12월 중순부터 시작되어 현재까지 지속되고 있으며, 특정 국가를 대상으로 한 일회성 공격이 아닌 다수의 국가를 겨냥한 지속적인 캠페인으로 판단됩니다. 

 

 

기업 사용자를 타겟으로 한 이번 국세청 세무조사 사칭 피싱 공격은 감염 시 원격코드 실행 및 내부망 확산 등 광범위한 피해를 초래할 수 있습니다. 특히 공격자가 지속적으로 변종파일을 업데이트하며 공격을 이어가고 있는 만큼, 기업 보안담당자와 사용자의 각별한 주의가 필요합니다.  

국세청에서는 ‘세무조사’와 관련된 메일을 발송하지 않는다는 점을 명심하시고, 의심스러운 메일의 링크 클릭이나 출처가 불분명한 파일을 실행하지 않도록 보안 수칙을 준수하시어 피해를 예방하시기 바랍니다. 

 

 

IoC

Indicator	Type	Description	Detection Name
9FD5920FE1FE407DC8BA6871550CA012	MD5	DLL 파일	Backdoor.SideLoad.A
B59F73817733D2986425B34FD28A1DC4	MD5	BIN 파일	Trojan.BIN.Encoded
hxxps://s**-ac******.io	DOMAIN	피싱 사이트