국세청 세무조사 출석요구 안내문 사칭 공격… 北 배후 추정
비트코인 등 가상 자산 분야 투자자들 상대로 진행되는 사이버 공격이 포착되어 각별한 주의가 필요합니다.
이번 공격은 '[국세청] 세무조사 출석요구 안내통지문' 제목의 이메일을 통해 시도되었으며, 국세청도 1월 12일 공지사항을 통해 해킹 공격에 대한 주의를 당부한 바 있습니다.
공격자는 발신자 주소를 ‘국세청<hometaxadmin@nts.go.kr>’ 으로 조작하고, 이메일 본문 역시 실제 국세청에서 발송된 안내문처럼 위장하였습니다.
일반적으로 발신자의 주소를 통하여 해킹 메일 여부를 확인하는데, 공격자가 이메일 발송 서버를 구축하거나 별도의 설정을 통해 실제 주소처럼 보이게 조작이 가능할 뿐만 아니라 실제 주소를 도용하는 경우도 있으므로 발신지 주소만으로 100% 신뢰해서는 안됩니다.
공격자는 또한 이메일 내 '세무조사 신고서류 안내.pdf' 파일이 첨부되어 있는 것처럼 제작하여 사용자의 클릭을 유도하였습니다.
사용자가 파일 열람을 위해 첨부파일 영역을 클릭하면, 공격자가 정교하게 제작해 놓은 네이버 로그인 피싱 페이지로 이동되며 사용자들의 계정정보 탈취를 시도합니다.
계정정보 탈취가 성공하면 실제 국세청 출석 시 필요한 세무조사 신고 안내 PDF 파일을 보여주기 때문에 피해자들은 해킹을 당했다는 사실을 인지하기 어렵습니다.
이번 공격은 대부분 비트코인 등 가상 자산 분야의 투자자들을 대상으로 공격이 진행된 점으로 보아, 가상화폐 탈취를 통한 외화벌이가 목적인 것으로 추정하고 있습니다.
뿐만 아니라, 이번 공격에서 악용된 ‘navearcorps[.]help’ 서버는 ‘27.102.101.26’ 아이피 주소로 연결되어 있는데, 해당 아이피는 작년 4 월 경 ‘goooglesecurity[.]com’ 주소를 포함해 ‘naaverascorp[.]com’, ‘naversinfo[.]help’, ‘nidnavesecorp[.]help’, ‘ninavaracorp[.]site’, ‘mybox-navers[.]com’, ‘infonavera[.]com’, ‘nidnaavers[.]com’ 등 다양한 피싱 페이지에 활용된 적이 있습니다.
ESRC가 해커의 서버를 확인 결과, 공격에 활용된 것으로 추정되는 다수의 주민등록증, 운전면허증, 사업자등록증이 발견되기도 하였습니다.
금번 국세청 문서처럼 위장한 포털 계정 피싱 공격 뿐만 아니라, 세무조사 신고 서류 안내와 출석 요구처럼 위장한 악성 파일도 여러 보고 되었습니다. ESRC에서는 해당 공격을 '코니(Konni) 캠페인'으로 분류하였으며, 탈륨(김수키) 공격과 코니 캠페인 간의 연관성을 조사중에 있습니다.
연초부터 북한 연계 해킹 그룹이 국세청을 사칭해 활발한 해킹 공격 시도를 하고 있으며 일각에서는 통일분야 문서를 사칭한 공격도 보고되고 있어, 사용자 여러분들의 각별한 주의가 필요합니다.
한편 이스트시큐리티는 연관 악성 파일의 탐지 기능을 자사 알약(ALYac) 제품에 긴급 업데이트 하였으며, 피해 확산 방지를 위한 대응 조치를 국가사이버안보협력센터(NCCC)와 한국인터넷진흥원(KISA) 등 관련 부처와 긴밀하게 협력하고 있습니다.
IoC
navearcorps[.]help
27.102[.]101.26