국세청 및 금융기관 사칭, PhaaS를 이용한 기업 타겟형 피싱메일 주의

[이미지] 생성형 AI 제작

 

 

이스트시큐리티 대응센터(ESRC)에서 운영 중인 TDS(Threat Detection System) 이메일 모니터링 시스템을 통해 국내 주요 산업군 기업을 겨냥한 피싱 공격이 포착되었습니다. 

공격자는 국세청 전자세금계산서 및 하나은행 보안메일을 정교하게 사칭하여, 피해자의 계정 정보 탈취를 시도하고 있으며, 특히 이번 공격은 PhaaS(서비스형 피싱 공격, Phishing-as-a-Service) 플랫폼이 사용된 것으로 추정되어 각별한 주의가 필요합니다.

 

[그림 1] TDS 이메일 모니터링 시스템에서 탐지된 피싱 메일 화면

 

공격 개요 및 유입 경로

 

이번 공격은 2026년 4~5월을 전후하여 자동차 부품 제조, 반도체/화학 소재, IT/광통신 장비, 의료기기/바이오, IT 서비스/SW 등 다양한 산업군의 국내 기업 실무자를 표적으로 삼았습니다.

 

공격자는 [메일 수신 → HTML 리다이렉터 실행 → 피싱 페이지 접속 → 계정 정보 탈취 → 정상 사이트로 이동] 이라는 5단계 공격 체인을 구성하고 있으며, 해킹된 해외 정상 웹 서버를 공격 기반으로 활용하여 탐지를 어렵게 만드는 특징을 보입니다.

유포된 피싱 메일은 국세청 전자세금계산서와 하나은행 보안메일을 위장한 유형으로 구분됩니다.

 

유형 1 - 국세청 전자세금계산서 사칭 

국세청 홈택스 전자(세금)계산서 발급 알림을 모방한 형태입니다. 발신자는 국내 실제 기업의 메일 주소로 위장하고 있으며, 본문에 수신자의 이메일 주소를 직접 삽입하여 신뢰감을 높입니다. 메일 본문에는 첨부된 HTML 파일(NTS_eTaxInvoice.html)을 실행하도록 유도하는 문구가 포함되어 있습니다.

 

[그림 2] 국세청 전자세금계산서 사칭 피싱 메일

 

유형 2 - 하나은행 보안메일 사칭

하나은행 송금 확인 보안메일로 위장한 유형에서는 발신자 주소가  홍콩 소재 실제 기업(wangfoong.com.hk)의 메일 서버가 경유지로 사용되었으며, DKIM 인증을 통과하도록 설정되어 있어 수신 메일 서버의 스팸 필터를 우회합니다. 메일 본문에는 "개인정보 보호를 위해 암호화하여 첨부되었습니다" 라는 문구와 함께 첨부파일 클릭을 유도합니다.

💡 참고하세요

SPF/DKIM이란?

SPF(Sender Policy Framework)와 DKIM(DomainKeys Identified Mail)은 이메일의 발신자 신원을 검증하는 보안 기술입니다. SPF는 메일 발송 서버의 IP가 허가된 IP인지 확인하고, DKIM은 메일 내용에 디지털 서명을 붙여 위조 여부를 검증합니다. 이번 공격에서는 침해된 정상 기업의 메일 서버나 DKIM이 설정된 타 기관 서버를 발송 경유지로 악용하여 이러한 보안 검증을 우회합니다.

 

[그림 3] 하나은행 보안메일 사칭 피싱 메일

 

동일한 유형으로 수집된 총 5건의 피싱 메일 분석 결과는 다음 표와 같습니다.

 

사칭기관 / 제목	발송 날짜	타켓산업군	최종 리다이렉트 URL
(하나은행) ADVICE OF REMITTANCE	2026-05-07	자동차 부품 제조	hxxps://consulteclab.com.br/wp-includes/rest-api/*******/*******/*******/Kai/krveri.html#[수신자 이메일]
전자 세금계산서가 *******에게 발급되었습니다.	2026-04-28	IT/광통신 장비	hxxps://consulteclab.com.br/wp-includes/rest-api/*******/*******/*******/Olw/krveri.html#[수신자 이메일]
전자 세금계산서가 *******에게 발급되었습니다.	2026-04-28	의료 기기/바이오	hxxps://consulteclab.com.br/wp-includes/rest-api/*******/*******/*******/Olw/krveri.html#[수신자 이메일]
전자세금계산서(Y&S)->회계법인***) 새창에서 읽기	2026-04-08	IT 서비스/SW	hxxps://aadicorporation.in/wp-content/Page#[수신자 이메일]
FW: 전자세금계산서(Y&S)->회계법인***) 새창에서 읽기	2026-04-07	반도체/화학 소재	hxxps://aadicorporation[.]in/.well-known/Page/

[표 1] 수집된 피싱 메일 분석 및 타겟 산업군

 

공격 흐름

 

1단계 - HTML 리다이렉터 실행 (NTS_eTaxInvoice.html)

피싱 메일에 첨부된 NTS_eTaxInvoice.html 파일은 실제 내용이 없는 1단계 리다이렉터 입니다. 사용자가 이 파일을 실행하는 순간, 내부에 포함된 자바스크립트가 자동으로 동작하여 사용자를 공격자가 사전에 준비한 2단계 피싱 서버로 즉시 이동시킵니다. 

 

 

2단계 - 피싱 랜딩 페이지 접속 (krveri.html)

2단계 피싱 서버에는 실제 계정 정보를 수집하는 피싱 랜딩 페이지(krveri.html)가  호스팅되어 있으며, 1단계에서 URL에 포함된 수신자의 이메일 주소가 피싱 페이지 로그인 화면에 자동으로 입력된 상태로 표시됩니다. 

또한 수신자의 이메일 도메인 정보를 분석하여 페이지 하단의 저작권 표시 등을 수신자 소속 기업에 맞게 동적으로 변경함으로써 더욱 정교한 사칭 화면을 구성합니다.

 

 

 

3단계: 심리적 기만 (3회 시도 강제 로직)

사용자가 비밀번호를 입력할 경우, 첫 번째와 두 번째 시도는 서버 응답과 무관하게 고의로 실패 처리하여 "비밀번호가 틀렸습니다. (1/3)" 등의 오류 메시지를 표시합니다. 이는 사용자가 오타를 의심하여 평소 사용하는 가장 정확한 비밀번호를 재입력하도록 심리적으로 유도하기 위한 의도적인 설계입니다.

 

 

4단계: 계정 정보 탈취 및 정상 사이트 이동

세 번째 비밀번호 입력이 완료되는 순간, 수집된 계정 정보(이메일 주소, 비밀번호, 도메인 등)는 공격자 서버의 수집 스크립트(peel.php)로 AJAX POST 방식으로 즉시 전송되고, 탈취가 완료된 후에는 피해자를 소속 기업의 실제 홈페이지(https://[기업도메인]/)로 자동으로 이동시킵니다. 

이를 통해 피해자가 피싱 공격을 당했다는 사실을 즉시 인지하기 어렵게 만듭니다.

 

 

공격 인프라 분석

 

이번 공격에서는 브라질(consulteclab.com.br) 및 인도(aadicorporation.in) 소재의 취약한 워드프레스 사이트가 해킹되어 공격 도구 호스팅 및 데이터 수집 기지로 악용된 것으로 확인되었습니다.

피싱 랜딩 페이지와 수집 스크립트는 워드프레스 코어 경로(/wp-includes/rest-api/) 하위의 무작위 다단계 경로에 숨겨져 있어, 웹사이트 관리자도 감염 사실을 인지하기 어렵습니다.

 

[그림 5] 해킹된 서버내 업로드된 랜딩페이지와 스크립트 파일

 

PhaaS 플랫폼 분석 - Greatness Kit 추정

 

이번 피싱 공격 사례에서는 다음과 같은 특징들이 확인되었습니다.

• 파일명 패턴: krveri.html (피싱 랜딩 페이지), peel.php (수집 서버), collect_logo.php (로고 수집)
• 디렉토리 패턴: /Kai/, /Olw/ 경로 사용
• 기능: URL 해시 기반 이메일 자동 추출(Autograb), 도메인 기반 페이지 동적 개인화, 세션 기반 시도 횟수 추적을 통한 심리적 기만

이와 같은 패턴은 PhaaS 기반 자동화 킷의 전형적인 특징으로, 공격자는 "Greatness" Phishing Kit 을 활용하여 피싱 메일을 유포 중인 것으로 추정됩니다. 동일한 공격 방식이 다양한 기업과 산업군을 대상으로 빠르게 확산될 수 있어 주의가 필요합니다.

 

💡 참고하세요

PhaaS(Phishing-as-a-Service)란?

SaaS(Software-as-a-Service)처럼 구독·구매 방식으로 피싱 공격 도구 일체를 제공하는 서비스입니다. 기술적 지식이 부족한 공격자도 전문적인 피싱 페이지와 계정 수집 백엔드를 손쉽게 활용할 수 있어, 피싱 공격의 진입 장벽을 크게 낮추고 있습니다.

 

결론 및 대응 방안

 

이번 공격은 PhaaS 플랫폼을 통해 다수의 산업군을 동시에 겨냥하는 광범위한 조직 공격으로 볼 수 있습니다.

특히 피싱 페이지에 수신자 본인의 이메일 주소가 자동으로 입력된 상태로 표시되기 때문에 개인화된 정상 서비스 화면으로 오인할 가능성이 높습니다. 아래 보안 수칙을 반드시 준수하여 피해를 예방하시기 바랍니다.

• 발신자 주소 및 도메인 반드시 확인
  국세청 전자세금계산서 발송 도메인은 nts.go.kr이며, 정상 발급 메일은 국세청 홈택스를 통해 직접 확인할 수 있습니다. 발신자 이름이 정상으로 표시되더라도, 실제 발신 이메일 주소를 확인하는 습관이 중요합니다.
• 첨부된 HTML 파일 실행 주의
  공공기관이나 금융기관은 HTML 첨부파일을 통해 로그인을 요구하지 않습니다. 첨부파일 실행 후 계정 정보 입력을 요구하는 화면이 나타나면 즉시 창을 닫으시기 바랍니다.
• 로그인 화면 URL 직접 확인
  브라우저 주소창의 URL이 공식 도메인(hometax.go.kr, hanabank.com 등)인지 반드시 확인하시기 바랍니다. 피싱 페이지는 해킹된 제3자 서버 주소를 사용합니다.
  
• 계정 정보 입력 후 즉각 조치
  만약 이미 계정 정보를 입력하였다면, 즉시 해당 계정의 비밀번호를 변경하고 모든 기기에서 세션 초기화(로그아웃)를 수행하시기 바랍니다.
• 다요소 인증(MFA) 설정
  비밀번호가 탈취되더라도 OTP, 생체 인증 등 추가 인증 수단이 설정되어 있으면 공격자의 실질적인 계정 접근을 차단할 수 있습니다.

 

IoC

Indicator	Type	Description	Detection Name
11BC29CC44F45DD7C2A9571A27C8A64	MD5	피싱 HTML 파일	Trojan.HTML.Phish
947F457F0092711FCA2A6A74D1262E99	MD5	피싱 HTML 파일	Trojan.HTML.Phish
BAE1814FCF32E445B746FED00A1D734B	MD5	피싱 HTML 파일	Trojan.HTML.Phish
327346E8F2CC10D455B5E44963569D6E	MD5	피싱 HTML 파일	Trojan.HTML.Phish
DE9D1D7D96C8FDF1841984F1421EA985	MD5	피싱 HTML 파일	Trojan.HTML.Phish