‘국세청 전자세금계산서 발급 메일 안내’로 위장한 악성 이메일, 국내 기업/공공기관에 유포중!

안녕하세요.

이스트시큐리티 시큐리티대응센터(ESRC)입니다.

5월 27일 ‘국세청 전자 세금계산서 발급 메일 안내’로 위장한 악성 이메일이 국내 공공기관 및 기업 종사자를 대상으로 유포되고 있어 각별한 주의가 필요한 상황입니다.

 

[그림 1] 국세청 홈택스 전자세금계산서 발급 안내로 사칭한 이메일 화면

이번 공격은 악성 파일을 첨부한 이메일을 특정 대상에게 발송하는 스피어 피싱 이메일 공격 방식을 사용하고 있습니다. 

특히 이번에 확인된 공격의 경우, 기존 국세청 hometax(홈택스) 사칭 공격에서 한단계 진화해 발신지 도메인까지 실제 홈택스 도메인 주소(hometaxadmin@hometax.go[.]kr)처럼 정교하게 조작한 것으로 분석되었습니다. 

따라서 단순히 육안 상으로 발신지 주소만으로는 악성 여부를 판단하는데 다소 어려움이 있을 것으로 보이며, 공격자들의 이메일 공격 방식이 지속적으로 고도화되고 있음을 확인할 수 있습니다.

또한, 이메일에 첨부된 압축 파일은 ‘.pdf.zip’과 같이 이중 확장자를 사용해 사용자 PC의 탐색기 폴더 옵션 설정에 따라 마치 pdf 문서처럼 보이도록 설정되어 있습니다. 만약 사용자가 해당 압축파일을 풀고 내부 파일을 실행할 경우, 폼북(Formbook) 유형의 악성코드에 감염되어 기업 내부의 다양한 정보 탈취 및 추가 해킹 피해로 이어질 수 있어 각별한 주의가 필요한 상황입니다.

[그림 2] 이중 확장자(PDF.ZIP)를 사용해 PDF 문서로 가장한 악성 파일

최근 국세청, 경찰청, 법원 등의 국가 기관을 사칭한 악성 이메일이 지속적으로 등장하고 있습니다. 기존 사칭 메일의 경우, 대부분 발신지 이메일 주소만으로도 쉽게 사칭 여부에 대한 판별이 가능했었습니다. 

그러나, 이번 공격처럼 이메일 발신지의 도메인을 실제 국가 기관 주소로 조작해 국내 기업 및 기관 종사자를 노리는 등 날로 공격 방식이 정교해지고 있음을 인지해야 합니다. 

또한, 기업 및 기관 종사자가 스피어 피싱 이메일을 열람하고 첨부파일을 열어보게 되면 해당 임직원의 개인정보는 물론 기업 내부 정보 유출로 이어지는 피해가 발생할 수 있어 이메일을 열람할 경우 각별한 주의가 필요하며, 가능하다면 사내 정보보호 부서에 의심메일을 신속하게 신고하는 보안의식이 중요해지는 시기입니다.

ESRC는 최근 이와 유사한 위협 사례를 다수 포착하여 긴급 대응 및 모니터링을 지속하고 있으며, 현재 알약에서는 해당 악성 샘플에 대해 'Trojan.Agent.Wacatac, Trojan.Agent.Vebzenpak, Trojan.Injector, Trojan.Agent.ERLO'으로 탐지 중입니다.