Home > 전체기사

가상자산 투자자 노린 북한 추정 해킹 공격... 이번엔 국세청 사칭했다

  |  입력 : 2023-01-17 11:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
세무조사 가장해 불안심리 자극...비트코인 등 가상자산 투자자 겨냥한 외화벌이 표적 공격
한국 특정 웹사이트를 중간 거점으로 악용, 추가 피싱 서버에서 신분증 발견


[보안뉴스 김영명 기자] 비트코인 등 가상자산 분야 투자자들 상대로 사이버 공격이 포착되고 있다. 특히, 이번 공격은 이달 12일 국세청 공식 홈페이지 공지사항을 통해 알려진 ‘국세청 사칭 [세무조사 출석요구 안내통지문] 해킹메일 주의 안내’ 내용을 악용한 해킹 공격의 일환인 것으로 밝혀졌다.

▲국세청 홈페이지에 공지사항으로 뜬 출석요구 안내문 해킹 메일 주의 안내문[자료=국세청]


통합 보안기업 이스트시큐리티(대표 정진일)에 따르면, 해당 공격은 이달 12일에 즈음해 마치 국세청에서 발송된 안내문으로 위장했으며, 이메일은 ‘[국세청] 세무조사 출석요구 안내통지문’ 제목을 담고 있다. 발신자는 ‘국세청’ 주소로 진짜처럼 보이게 정교하게 조작 후 공격을 수행한 것으로 드러났다.

보통 해킹 메일을 구분하는 방법 중 하나가 발신지의 공식 주소 여부를 확인하는 것인데, 공격자가 이메일 발송 서버를 구축하거나 별도의 설정을 통해 실제 주소처럼 보이게 조작이 가능하다. 더불어 실제 주소를 도용하는 경우도 있어 발신지 주소만으로 100% 신뢰해서는 안된다.

▲국세청 세무조사 출석요구 안내문으로 가장한 해킹 메일 화면[자료=이스트시큐리티]


이번 공격은 실제 국세청 홈택스의 세무조사 신고 통지문처럼 본문을 담고 있으며, ‘세무조사 신고서류안내.pdf’ 문서 파일이 첨부된 것처럼 보인다. 하지만, ‘세무조사 신고서류안내.pdf’ 파일은 실제 메일에 첨부된 상태가 아니고, 한국의 특정 경제문화교류협회 사이트와 통신한 후, 네이버 계정 피싱용 △‘navearcorps[.]help’ △‘mybox-naves[.]com’ 서버로 연결해 계정 탈취를 시도했다.

한편, 해킹 경유지로 사용된 공격자 서버에는 특정인의 주민등록증, 운전면허증, 사업자등록증 등도 함께 발견됐는데, 이는 가상자산 투자자 일부가 피싱 공격을 입은 후 이메일에 저장된 개인정보가 추가 유출됐을 가능성에 무게를 두고 후속 분석 작업을 진행 중이다.

▲해커 서버에서 발견된 주민등록증, 운전면허증, 사업자등록증 화면(일부 모자이크 처리)[자료=이스트시큐리티]


만약 피싱 공격에 속아 수신자가 암호를 입력해 유출되면, 실제 국세청 출석 시 필요한 세무조사 신고 안내 PDF 문서를 보여주는 등 나름 치밀하게 공격을 진행하기 때문에 피해자는 해킹 공격에 노출된 사실을 인지하는데 다소 시간이 걸릴 수 있다.

공격에 악용된 ‘navearcorps[.]help’ 서버는 특정 IP 주소로 연결돼 있는데, 작년 4월경 ‘goooglesecurity[.]com’ 주소를 포함해 ‘naaverascorp[.]com’, ‘naversinfo[.]help’, ‘nidnavesecorp[.]help’, ‘ninavaracorp[.]site’, ‘mybox-navers[.]com’, ‘infonavera[.]com’, ‘nidnaavers[.]com’ 주소 사용 이력이 존재한다. 당시 일부 도메인이 북한 연계 해킹 그룹인 ‘탈륨’ 또는 ‘김수키’에서 사용한 것으로 보고되기도 했다.

이처럼 북한 소행으로 지목된 사이버 위협이 공신력 있는 국세청을 사칭해 연초부터 해킹 공격을 시도하고 있다는 점이 주목할 만하며, 일각에선 통일분야 문서를 사칭한 공격도 보고되고 있다.

이스트시큐리티는 확인된 피해 대상자가 주로 비트코인 등 가상자산 분야 투자자라는 흥미로운 공통점이 발견되고 있어 외화벌이 목적으로 진행된 북한 배후 사이버 공격으로 추정하고 있다.

이스트시큐리티 문종현 ESRC 센터장(이사)은 “이번 국세청 문서처럼 위장한 포털 계정 피싱 공격뿐만 아니라, 세무조사 신고 서류 안내와 출석요구처럼 위장한 악성 파일도 다수 보고된 바 있다”며 “해당 공격은 일명 ‘코니(Konni)’ 캠페인으로 분류돼 있다”고 말했다. 이어 “탈륨(김수키) 공격과 코니 캠페인 간의 연관성을 면밀히 조사 중”이라고 덧붙였다.

한편, 이스트시큐리티는 연관 악성 파일의 탐지 기능을 자사 알약 제품에 긴급 업데이트했으며, 피해 확산 방지를 위해 국가사이버안보협력센터(NCCC)와 한국인터넷진흥원(KISA) 등 관련 부처와 긴밀하게 협력하고 있다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 23년 1월12일 수정 위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
2023년 클라우드 생태계를 위협할 다양한 보안이슈들
전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
메타버스, 주목받는 만큼 증가하는 보안위협
스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야