“한국 국세청 사칭 북 해킹 포착…금융정보 탈취 목적”
2023.07.31
앵커: 한국의 국세청을 사칭한 해킹 시도가 포착됐습니다. 한국 내 보안 업체에 따르면 북한의 소행으로 추정되는 이번 공격은 금융 정보 탈취가 목적인 것으로 분석됐습니다. 서울에서 목용재 기자가 보도합니다.
한국의 보안업체인 지니언스는 31일 내놓은 온라인 보고서를 통해 북한의 해킹 조직으로 알려진 ‘코니’의 새로운 사이버 위협 활동을 식별했다고 밝혔습니다.
보고서에 따르면 이번 공격은 국세청을 사칭해 ‘우편물센터 발송알림 메일’이라는 제목의 전자우편으로 발신됐습니다. 해당 전자우편에는 부가가치세 및 인지세 납부와 관련한 해명자료를 요구한다는 내용과 함께 ‘소명자료 제출요청 안내’라는 압축 파일이 첨부돼 있었습니다.
해당 압축 파일을 내려 받아 해제하면 ‘인지세 조사보고서’, ‘자금출처명세서’라는 이름의 2개의 정상적인 문서 파일과 1개의 ‘소명자료 목록’이라는 악성 ‘LNK’ 확장자 파일을 확인할 수 있습니다. 이 가운데 ‘소명자료 목록’이라는 파일을 실행하면 전자우편 수신자의 개인정보 등이 외부로 유출되는 피해를 입게 됩니다.
지니언스에 따르면 해당 공격은 금융 및 주식, 가상자산과 관련한 개인 투자자들, 일부 대북분야 종사자를 대상으로 이뤄졌습니다. 지니언스는 “세금 관련 이슈는 민감한 소재 중 하나”라며 “수신자로 하여금 불안 심리를 증폭시켜 첨부 파일에 대한 접근을 보다 빠르게 만들기 위한 전략”이라고 분석했습니다.
지니언스는 이번 공격이 외교·안보 및 국방, 북한 관련 분야의 종사자들보다는 일반 금융 투자자들을 대상으로 이뤄졌다는 점에서 북한의 외화벌이 움직임인 것으로 분석했습니다.
문종현 지니언스 이사는 31일 자유아시아방송(RFA)과의 통화에서 “과거에도 개인 투자자나 가상자산 관련 거래소에 근무하는 대상들에 대한 북한의 공격이 행해진 사례가 있어 이번 공격의 목적도 외화벌이인 것으로 추정된다”고 말했습니다.
문종현 지니언스 이사: 일반인들, 그러니까 비트코인을 거래하거나 주식 관련 전문가로 활동하시는 일반인들도 공격의 대상이 되고 있다는 점이 특이한 부분입니다. 1 대 1로 공격을 하고 있다는 얘깁니다. 개인적으로 활동하는 분들도 이런 피싱 공격의 대상이 되고 있다는 것들은 좀 주의가 필요할 것 같습니다.
또한 이번 공격에서 주목되는 점은 발신자의 전자우편 주소(‘admin@etax.go.kr’)의 도메인 끝자리가 ‘go.kr’이라는 점입니다. 이 때문에 수신자들이 현혹될 가능성이 높아 보인다는 게 지니언스의 분석입니다.
이번 공격에는 일본에 소재한 서버가 활용됐고 이를 통해 공격자는 발신 계정을 한국의 국세청처럼 보이도록 위장할 수 있었습니다.
문 이사는 “발신자 계정의 도메인 끝이 ‘go.kr’이라고 해도 무조건 믿으면 안 된다”며 “공격자들이 얼마든지 한국 정부가 발신한 전자우편처럼 위장할 수 있기 때문”이라고 당부했습니다.
지니언스는 이번 보고서를 통해 “지난 1월부터 6월까지 한국 내에 이번과 관련된 공격이 지속적으로 발생하고 있는 점에 주목한다”며 “‘코니’의 공격은 주로 가상자산 분야 거래자를 노리는 것으로 금전적 수익을 목적으로 이뤄진다”고 분석했습니다.
앞서 북한의 해킹 조직으로 알려진 ‘코니’는 올해 초부터 한국의 국세청과 공정거래위원회 등을 사칭해 가상자산 및 금융투자를 진행하는 사람들의 개인정보 탈취를 지속적으로 시도하고 있습니다.
에디터 양성원, 웹팀 이경하