상세 컨텐츠

본문 제목

세무 위반 통지 사칭 피싱 메일을 통한 원격제어 악성코드 유포 주의

악성코드 분석 리포트

by 알약4 2026. 7. 13. 18:05

본문

[이미지] 생성형 AI 제작

 

 

이스트시큐리티 대응센터(ESRC)에서 운영 중인 TDS(Threat Detection System) 이메일 모니터링 시스템을 통해, 국세 당국의 세무 위반 통지를 사칭한 피싱 메일이 확인되었습니다. 본 메일은 본문에 삽입된 링크로 악성 실행 파일을 다운로드 및 실행하도록 유도하며, 감염 시 대상 시스템에 대한 원격제어 권한이 공격자에게 이전됩니다.

 

[그림 1] TDS 이메일 모니터링 시스템에서 탐지된 피싱 메일 화면

 

이번 공격은 "세무 위반 및 제재 통지"를 제목으로 수신자에게 제출 기한을 압박한 뒤, 첨부가 아닌 외부 파일 공유 서비스 링크를 통해 악성 실행 파일을 배포하는 방식으로 전개되었습니다. 악성코드를 메일에 직접 첨부하지 않고 정상 서비스를 경유 하도록 구성함으로써 메일 게이트웨이의 첨부파일 검사를 회피한 점이 특징입니다.

 

ESRC는 수집된 피싱 메일과 이를 통해 유포된 실행 파일(세금 위반 코드.exe)을 함께 분석하였으며, 해당 파일은 중국산 원격제어 소프트웨어를 은닉 설치하는 드로퍼(Dropper)로 확인되었습니다.

 

공격 개요

 

공격자는 무료 웹메일 서비스(gmx.com) 계정을 이용해 국세 당국의 세무 위반 통지를 사칭한 메일을 국내 기업 담당자에게 발송했습니다. 메일은 세무 검사 결과 특정 조항 위반이 확인되었다는 내용과 함께 72시간의 제출 기한 및 미이행 시 법적 조치 가능성을 명시하여, 수신자가 본문 링크를 즉시 실행하도록 압박합니다. 

 

[그림 2] 세무 위반 통지 사칭 피싱 메일

 

링크에 접속하면 파일 공유 서비스(LimeWire)에 업로드된 ‘세금 위반 코드.zip’ 파일이  다운로드되며, 내부에 ‘세금 위반 코드.exe’파일이 존재합니다.

 

[그림 3]파일 공유 서비스에 업로드된 악성파일

 

[그림 4] 다운로드된 ‘세금 위반 코드.zip’파일

 

전체 공격은 [피싱 메일 수신 → 본문 링크 접속 → 파일 공유 서비스에서 악성 파일 다운로드 → 실행 → 원격제어 악성코드 설치 → 공격자 C2 접속] 순서로 전개되며, 최종 단계에서 공격자는 감염 시스템에 대한 완전한 원격제어 권한을 확보합니다.

 

악성코드 상세 분석 - 세금 위반 코드.exe

 

악성 파일은 세무 관련 파일명을 사용한 32비트 MFC 기반 실행 파일로, 실행 시 내부에 은닉된 원격제어 소프트웨어를 설치하는 드로퍼입니다. 본체는 PECompact 2.x로 패킹되어 있어 내부 코드와 문자열이 노출되지 않으며, 정적 분석을 방해하도록 구성되었습니다.

 

1) 코드서명 인증서 악용을 통한 신뢰 검증 우회
본 검체는 중국 랴오닝성 소재 개인 명의(Wei Liu)로 발급된 코드서명 인증서로 서명되어 있습니다. 서명은 유효하게 검증되므로 백신의 평판 기반 탐지와 Windows SmartScreen 경고를 우회하는 데 악용됩니다. 정식 소프트웨어 벤더가 아닌 개인 명의의 저가 인증서를 사용한 점, 파일 버전 정보(VersionInfo)가 전 항목 공백인 점은 정상 소프트웨어로 판단하기 어려운 근거입니다.

 

[그림 5] 디지털서명 정보

 

2) 드롭 체인 및 지속성 메커니즘
악성파일이 실행되면 다음 순서로 원격제어 소프트웨어를 은닉 설치한 뒤 원본 파일을 자가 삭제합니다.

 

단계 동작
1 본체에 내장된 7z 압축 아카이브를 임시 경로(%Temp%)에 기록
2 사용자 프로파일 경로(%AppData%\Roaming\<랜덤>\rdpro\)에 원격제어 소프트웨어 압축 해제
3 rdService.exe를 Windows 서비스로 등록하여 재부팅 후 자동 실행되도록 지속성 확보
4 바탕화면에 tem.vbs를 생성하여 원본 실행 파일을 자가 삭제
5 원격제어 소프트웨어가 공격자 C2 서버에 접속하여 원격제어 세션 확립

[표 1] 실행 단계별 동작

 

설치 경로는 숨김·시스템 속성으로 생성되어 사용자에게 노출되지 않으며, 서비스 표시명을 "RdViewer Client Service"로 등록해 정상 서비스로 오인되도록 위장합니다. 감염 직후 원본 파일이 삭제되므로 사용자는 실행 사실 자체를 인지하기 어렵습니다. 

 

3) 페이로드 분석 - 원격제어 소프트웨어 RdViewer
압축 해제되어 설치되는 소프트웨어는 중국 업체가 개발한 상용 원격제어 솔루션 RdViewer입니다.

 

[그림 6] 정상 RdViewer 실행화면

 

해당 파일은 자체 릴레이 서버 구축을 지원하는 구조로, 공격자 서버로의 역접속을 유도하는 RAT(원격제어 트로이목마)로 악용하기 쉽습니다.  특히 원격제어 본체(RdClient.exe)는 버전 정보를 Microsoft Windows 정상 프로세스(svchost)로 위조하여 은닉성을 강화했습니다.

 

파일  역할 위장 및 서명
RdClient.exe 원격제어 에이전트 버전 정보를 svchost로 위조 (정상 프로세스 위장)
rdService.exe 서비스 모듈 (지속성 유지) RdViewer 제작사 정품 인증서로 서명
rdlibw.dll 원격 화면 인코딩용 코덱 라이브러리 -

[표 2] RdViewer 설치 파일 구성

 

[그림 7] svchost로 위장한 RdClient.exe 버전정보

 

4) C2 서버 식별 및 원격제어 통신
RdViewer의 설정 파일(cfg.ini, host.dat)은 접속 대상 서버 정보가 노출되지 않도록 AES로 암호화되어 있으며, 복호화 결과 실제 접속 대상이 RdViewer 정품 인프라가 아니라 공격자가 직접 운영하는 C2 서버 204.194.54.118:7788임을 확인했습니다.

 

파일 / 키  복호화된 평문 의미
host.dat - host 204.194.54.118:778 공격자 C2 서버 (자체 노드)
host.dat - mark 352842775 그룹/캠페인 태그 또는 무결성 값
cfg.ini - User admi 접속 계정명
cfg.ini - UUID A8******************* 피해 장치 식별자(Device ID)
cfg.ini - Self RdClient.exe 자기 모듈명

[표 3] 복호화된 RdViewer의 설정 파일 값

 

원격제어 본체(RdClient.exe)는 실행 시 host.dat를 참조하여 설정된 서버로 접속합니다. 공격자는 배포 시점에 host 필드에 자체 서버(204.194.54.118:7788)를 지정해 두었으며, 이에 따라 감염 시스템은 공격자 서버로 접속하여 화면, 파일, 오디오를 포함한 대화형 원격제어 세션을 제공합니다.

 

공격 특징

 

이번 공격에서 확인된 주요 특징은 다음과 같습니다.

  • 압박 기반 사회공학: 세무 위반 소재와 72시간 제출 기한, 법적 조치 경고를 결합하여 수신자의 즉각적인 링크 실행을 유도
  • 첨부 우회형 유포: 정상 파일 공유 서비스에 악성 파일을 호스팅하고 링크만 전달하여 메일 게이트웨이의 첨부파일 검사를 회피
  • 신뢰 기반 검증 우회: 개인 명의 코드서명 인증서로 평판 기반 탐지와 SmartScreen을 우회하고, svchost 프로세스로 위장하여 은닉성 확보
  • 상용 원격제어 도구 전용: 자체 서버 구축이 가능한 상용 솔루션(RdViewer)을 리네임·재패키징하여 은닉 RAT로 전용
  • 지속성 및 분석방해 : Windows 서비스 등록으로 재부팅 후 생존을 확보하고, 원본 파일 자가 삭제로 분석 및 대응을 저해

세무 소재의 파일명, 국내 기업을 겨냥한 발송 정황, 중국산 원격제어 솔루션 및 중국 명의 인증서 활용을 종합하면, 이번 사례는 국내 조직을 표적으로 한 원격장악 시도로 판단됩니다.

 

결론 및 대응 방안

 

이번 공격은 세무 위반이라는 압박 소재로 수신자의 판단을 저해하고, 정상 서비스 경유와 유효한 디지털 서명 뒤에 악성 행위를 은폐한 사례입니다. 발신 도메인의 인증 통과나 실행 파일의 정상 서명이 곧 안전성을 보증하지 않는다는 점에 유의해야 합니다. 피해 예방을 위해 다음 사항을 준수하시기 바랍니다.

  • 발신자 및 통지 경로 검증: 공식 도메인이 아닌 발신 주소의 메일은 본문 링크 및 첨부파일을 실행하지 마시기 바랍니다.
  • 기한 압박 주의: "72시간 이내"와 같은 단기 기한 및 법적 조치 경고로 즉각적인 실행을 유도하는 메일은 전형적인 피싱 수법이므로, 공식 채널을 통해 사실 여부를 확인하시기 바랍니다.
  • 파일 공유 링크 실행 자제: 정상 서비스 주소라 하더라도 세무/법무 등 압박성 메일에 포함된 실행 파일 다운로드 링크는 실행하지 않도록 주의합니다.
  • 확장자 표시 및 확인: Windows 탐색기의 "알려진 파일 형식의 파일 확장명 숨기기" 옵션을 해제하고, 실행 전 확장자가 실행 파일(EXE 등)인지 반드시 확인하시기 바랍니다.

 

IoC

Indicator Type Description Detection Name
0084596140BFC8121401216F3D0873AA MD5 세금 위반 코드.exe Trojan.Dropper.Agent
122C481E44221FEFD34C808FF679B1BA MD5 rdclient.exe Backdoor.RAT.Agent
204.194.54.118:7788 IP C2  

 

 

관련글 더보기

댓글 영역