
이스트시큐리티 대응센터(ESRC)에서 운영 중인 TDS(Threat Detection System) 이메일 모니터링 시스템을 통해, 국세 당국의 세무 위반 통지를 사칭한 피싱 메일이 확인되었습니다. 본 메일은 본문에 삽입된 링크로 악성 실행 파일을 다운로드 및 실행하도록 유도하며, 감염 시 대상 시스템에 대한 원격제어 권한이 공격자에게 이전됩니다.

이번 공격은 "세무 위반 및 제재 통지"를 제목으로 수신자에게 제출 기한을 압박한 뒤, 첨부가 아닌 외부 파일 공유 서비스 링크를 통해 악성 실행 파일을 배포하는 방식으로 전개되었습니다. 악성코드를 메일에 직접 첨부하지 않고 정상 서비스를 경유 하도록 구성함으로써 메일 게이트웨이의 첨부파일 검사를 회피한 점이 특징입니다.
ESRC는 수집된 피싱 메일과 이를 통해 유포된 실행 파일(세금 위반 코드.exe)을 함께 분석하였으며, 해당 파일은 중국산 원격제어 소프트웨어를 은닉 설치하는 드로퍼(Dropper)로 확인되었습니다.
공격자는 무료 웹메일 서비스(gmx.com) 계정을 이용해 국세 당국의 세무 위반 통지를 사칭한 메일을 국내 기업 담당자에게 발송했습니다. 메일은 세무 검사 결과 특정 조항 위반이 확인되었다는 내용과 함께 72시간의 제출 기한 및 미이행 시 법적 조치 가능성을 명시하여, 수신자가 본문 링크를 즉시 실행하도록 압박합니다.

링크에 접속하면 파일 공유 서비스(LimeWire)에 업로드된 ‘세금 위반 코드.zip’ 파일이 다운로드되며, 내부에 ‘세금 위반 코드.exe’파일이 존재합니다.


전체 공격은 [피싱 메일 수신 → 본문 링크 접속 → 파일 공유 서비스에서 악성 파일 다운로드 → 실행 → 원격제어 악성코드 설치 → 공격자 C2 접속] 순서로 전개되며, 최종 단계에서 공격자는 감염 시스템에 대한 완전한 원격제어 권한을 확보합니다.
악성 파일은 세무 관련 파일명을 사용한 32비트 MFC 기반 실행 파일로, 실행 시 내부에 은닉된 원격제어 소프트웨어를 설치하는 드로퍼입니다. 본체는 PECompact 2.x로 패킹되어 있어 내부 코드와 문자열이 노출되지 않으며, 정적 분석을 방해하도록 구성되었습니다.
1) 코드서명 인증서 악용을 통한 신뢰 검증 우회
본 검체는 중국 랴오닝성 소재 개인 명의(Wei Liu)로 발급된 코드서명 인증서로 서명되어 있습니다. 서명은 유효하게 검증되므로 백신의 평판 기반 탐지와 Windows SmartScreen 경고를 우회하는 데 악용됩니다. 정식 소프트웨어 벤더가 아닌 개인 명의의 저가 인증서를 사용한 점, 파일 버전 정보(VersionInfo)가 전 항목 공백인 점은 정상 소프트웨어로 판단하기 어려운 근거입니다.

2) 드롭 체인 및 지속성 메커니즘
악성파일이 실행되면 다음 순서로 원격제어 소프트웨어를 은닉 설치한 뒤 원본 파일을 자가 삭제합니다.
| 단계 | 동작 |
| 1 | 본체에 내장된 7z 압축 아카이브를 임시 경로(%Temp%)에 기록 |
| 2 | 사용자 프로파일 경로(%AppData%\Roaming\<랜덤>\rdpro\)에 원격제어 소프트웨어 압축 해제 |
| 3 | rdService.exe를 Windows 서비스로 등록하여 재부팅 후 자동 실행되도록 지속성 확보 |
| 4 | 바탕화면에 tem.vbs를 생성하여 원본 실행 파일을 자가 삭제 |
| 5 | 원격제어 소프트웨어가 공격자 C2 서버에 접속하여 원격제어 세션 확립 |
[표 1] 실행 단계별 동작
설치 경로는 숨김·시스템 속성으로 생성되어 사용자에게 노출되지 않으며, 서비스 표시명을 "RdViewer Client Service"로 등록해 정상 서비스로 오인되도록 위장합니다. 감염 직후 원본 파일이 삭제되므로 사용자는 실행 사실 자체를 인지하기 어렵습니다.
3) 페이로드 분석 - 원격제어 소프트웨어 RdViewer
압축 해제되어 설치되는 소프트웨어는 중국 업체가 개발한 상용 원격제어 솔루션 RdViewer입니다.

해당 파일은 자체 릴레이 서버 구축을 지원하는 구조로, 공격자 서버로의 역접속을 유도하는 RAT(원격제어 트로이목마)로 악용하기 쉽습니다. 특히 원격제어 본체(RdClient.exe)는 버전 정보를 Microsoft Windows 정상 프로세스(svchost)로 위조하여 은닉성을 강화했습니다.
| 파일 | 역할 | 위장 및 서명 |
| RdClient.exe | 원격제어 에이전트 | 버전 정보를 svchost로 위조 (정상 프로세스 위장) |
| rdService.exe | 서비스 모듈 (지속성 유지) | RdViewer 제작사 정품 인증서로 서명 |
| rdlibw.dll | 원격 화면 인코딩용 코덱 라이브러리 | - |
[표 2] RdViewer 설치 파일 구성

4) C2 서버 식별 및 원격제어 통신
RdViewer의 설정 파일(cfg.ini, host.dat)은 접속 대상 서버 정보가 노출되지 않도록 AES로 암호화되어 있으며, 복호화 결과 실제 접속 대상이 RdViewer 정품 인프라가 아니라 공격자가 직접 운영하는 C2 서버 204.194.54.118:7788임을 확인했습니다.
| 파일 / 키 | 복호화된 평문 | 의미 |
| host.dat - host | 204.194.54.118:778 | 공격자 C2 서버 (자체 노드) |
| host.dat - mark | 352842775 | 그룹/캠페인 태그 또는 무결성 값 |
| cfg.ini - User | admi | 접속 계정명 |
| cfg.ini - UUID | A8******************* | 피해 장치 식별자(Device ID) |
| cfg.ini - Self | RdClient.exe | 자기 모듈명 |
[표 3] 복호화된 RdViewer의 설정 파일 값
원격제어 본체(RdClient.exe)는 실행 시 host.dat를 참조하여 설정된 서버로 접속합니다. 공격자는 배포 시점에 host 필드에 자체 서버(204.194.54.118:7788)를 지정해 두었으며, 이에 따라 감염 시스템은 공격자 서버로 접속하여 화면, 파일, 오디오를 포함한 대화형 원격제어 세션을 제공합니다.
이번 공격에서 확인된 주요 특징은 다음과 같습니다.
세무 소재의 파일명, 국내 기업을 겨냥한 발송 정황, 중국산 원격제어 솔루션 및 중국 명의 인증서 활용을 종합하면, 이번 사례는 국내 조직을 표적으로 한 원격장악 시도로 판단됩니다.
이번 공격은 세무 위반이라는 압박 소재로 수신자의 판단을 저해하고, 정상 서비스 경유와 유효한 디지털 서명 뒤에 악성 행위를 은폐한 사례입니다. 발신 도메인의 인증 통과나 실행 파일의 정상 서명이 곧 안전성을 보증하지 않는다는 점에 유의해야 합니다. 피해 예방을 위해 다음 사항을 준수하시기 바랍니다.
IoC
| Indicator | Type | Description | Detection Name |
|---|---|---|---|
| 0084596140BFC8121401216F3D0873AA | MD5 | 세금 위반 코드.exe | Trojan.Dropper.Agent |
| 122C481E44221FEFD34C808FF679B1BA | MD5 | rdclient.exe | Backdoor.RAT.Agent |
| 204.194.54.118:7788 | IP | C2 |
| Chai.js 플러그인으로 위장한 북한발 npm 악성 패키지 'chai-as-init' 분석 (0) | 2026.06.16 |
|---|---|
| Solana SDK로 위장한 npm 패키지, Telegram Bot API 기반 RAT 유포 (0) | 2026.06.11 |
| 개인정보 유출 의심 문의로 위장한 Kimsuky 스피어피싱 사례 분석 (0) | 2026.06.09 |
| 디지털 서명 검증을 우회하는 MS Word 변조 악성코드 주의 (CVE-2013-3900) (0) | 2026.06.01 |
| 오픈소스 공급망을 넘어 로컬 AI 인프라를 겨냥한 위협 분석 (0) | 2026.05.26 |
댓글 영역