북한 추정 해커가 연초 국세청을 사칭해 사이버공격을 진행 중인 것으로 나타났다.
통합 보안 기업 이스트시큐리티는 17일 보도자료를 통해 “이번 공격은 지난 12일경, 마치 국세청에서 발송된 안내문으로 위장됐다”며 “이메일은 ‘[국세청] 세무조사 출석요구 안내통지문’ 제목을 담고 있고 발신자는 ‘국세청’ 주소로 진짜처럼 보이게 정교하게 조작됐다”고 밝혔다.
이메일 도메인이 ‘nts.go.kr’로 되어 있어 실제 국세청 공식 메일인 것처럼 보이지만 이는 조작된 주소다.
해킹 메일을 구분하는 방법의 하나가 발신지의 공식 주소 여부를 확인하는 것인데, 해커는 이메일 발송 서버를 구축하거나 별도 설정을 통해 실제 공식 주소처럼 보이게 조작할 수 있다. 이런 방식으로도 공격이 이뤄지고 있는 만큼 발신지 주소만 보고 판단해서는 안 된다.
해커는 실제 국세청 홈택스의 세무조사 신고 통지문과 같은 형태로 이메일을 보내면서 여기에 ‘세무조사 신고서류안내.pdf’ 파일을 첨부했다.
하지만 해당 파일을 클릭하면 한국의 특정 경제문화교류협회 사이트와 통신한 후, 네이버 계정 피싱용 ‘navearcorps[.]help’, ‘mybox-naves[.]com’ 서버로 연결된다. 이곳에 아이디와 암호를 입력하면 계정 정보가 해커에게 전달되는 구조다.
해커는 피해자가 피싱 서버에 아이디와 암호를 입력하면 실제 국세청 출석 시 필요한 세무조사 신고 안내 PDF 문서를 띄워 해킹 공격에 노출됐다는 사실을 인지하지 못하도록 치밀하게 준비하기도 했다.
이번 공격에 악용된 ‘navearcorps[.]help’ 서버는 ‘27.102.101.26’ IP 주소로 연결돼 있다.
이 IP는 ‘goooglesecurity[.]com’, ‘naaverascorp[.]com’, ‘naversinfo[.]help’, ‘nidnavesecorp[.]help’, ‘ninavaracorp[.]site’, ‘mybox-navers[.]com’, ‘infonavera[.]com’, ‘nidnaavers[.]com’ 등의 도메인을 사용한 이력이 있는 것으로 파악됐는데, 작년 4월경 일부 도메인이 북한 연계 해킹 그룹인 ‘탈륨’ 또는 ‘김수키’에서 사용한 것으로 보고된 바 있다.
이번 국세청 사칭 공격이 북한 해킹 조직과 연결됐을 가능성이 큰 대목이다.
이스트시큐리티는 “공신력 있는 국세청을 사칭해 연초부터 해킹 공격을 시도하고 있다는 점이 주목할 만 하다”며 “일각에선 통일 분야 문서를 사칭한 공격도 보고되고 있다”고 밝혔다.
이번 해킹은 지난 15일부터 진행되고 있는 연말정산 간소화 서비스로 국세청에 대한 높은 관심을 이용했을 가능성도 있다. 사회적으로 관심도가 높은 사안을 매개로 한 사회공학적 방식의 공격인 셈이다.
문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 “금번 국세청 문서처럼 위장한 포털 계정 피싱 공격뿐만 아니라 세무조사 신고 서류 안내와 출석 요구처럼 위장한 악성 파일도 다수 보고되고 있다”며 “해당 공격은 일명 ‘코니(Konni)’ 캠페인으로 분류되고 있어 탈륨(김수키)와의 연관성을 면밀히 조사 중”이라고 말했다.
코니는 그동안 주로 북한 관련 내용을 매개로 한 스피어피싱(Spear Phishing) 공격을 해 왔다. 국내 보안 업체들은 코니가 북한 해킹 조직으로 알려진 김수키(Kimsuky)와 밀접한 관련이 있다고 평가하고 있다.
