‘전자세금계산서’ 열었다가 악성코드 감염, 국세청 사칭 피싱 주의

PPT 파일과 매크로 이용한 악성파일로 사용자 정보 유출

[보안뉴스 이상우 기자] ‘국세청 전자세금계산서 발급 메일 안내’로 위장한 피싱 메일이 불특정 다수를 대상으로 유포되고 있다. 발견된 공격은 메일 수신자가 관심을 가질만한 내용의 이메일을 발송해, 첨부된 악성파일을 열어보도록 유도하는 전형적인 ‘스피어 피싱’ 방식이다. 다만 기존 이메일 스피어 피싱 공격에는 압축파일이나 MS워드 문서 형태의 악성파일을 흔히 사용해온 반면, 이번 공격은 파워포인트 문서인 PPT 파일을 사용한 특징이 있다.

▲국세청을 사칭해 전자세금계산서 발송으로 위장한 피싱 메일[자료=이스트시큐리티]

공격자는 메일 수신자가 신뢰하고 첨부 파일을 열어보도록, 보낸 사람의 이메일 주소를 실제 홈택스 처럼 정교하게 조작했다. 메일 수신자가 정상적인 세금계산서로 오인해 이메일에 첨부된 PPT 파일을 열어보면, 파워포인트 프로그램이 실행되는 동시에 ‘보안알림’이 나타난다. 보안알림에는 콘텐츠의 출처를 신뢰할 수 없다고 경고하며, 신뢰할 수 있을 경우에만 ‘매크로 포함’ 버튼을 누르라고 설명한다.

▲파일 실행 시 나타나는 매크로 경고[자료=이스트시큐리티]

만약 매크로 포함 버튼을 클릭할 경우 파워포인트 화면에 아무런 내용이 나타나지 않지만 실제로는 공격자가 사전에 설정해둔 악성코드를 실행할 준비가 완료된다. 이후 빈 화면을 확인하고 파워포인트 프로그램을 종료하는 시점에 사용자가 알아챌 수 없게 특정 서버로 접속을 시도한다. 이 서버에 접속할 경우 파워셸(PowerShell) 명령어가 작동하고 파일리스(Fileless) 기반으로 악성파일이 사용자 PC의 정상적인 프로세스에 삽입돼, PC 정보를 탈취한다.

이스트시큐리티 시큐리티대응센터 문종현 센터장은 “기업의 월말 결산 시기에 세금계산서 발행이 많은 점을 노리고, 이 같은 스피어 피싱 이메일 공격이 나타난 것으로 보인다”며, “이메일 스피어피싱 공격이 갈수록 진화되고 있고 시의성에 맞춘 사회공학적 기법을 사용하고 있기 때문에, 이메일 첨부 파일을 열어보기 전 신뢰할 수 파일인지 다시 한번 확인하는 습관을 가져야한다”고 당부했다.
[이상우 기자(boan@boannews.com)]

보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
	민간인증서부터 융복합인증까지, 인증의 시대 열린다
	랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
	데이터 프라이버시가 기업들의 목을 죈다
	재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
	영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
	의료·제약 분야, 코로나19 다음은 해커
	스마트공장 구축은 OT/ICS 보안 정립부터
	드론, 융합보안 산업의 핵심 아이템이 되다
	몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
	CCTV 시스템온칩 대란, 중소기업 생존까지 위협