연말정산 시즌 ‘국세청 사칭’ 해킹 이메일 주의보

가상자산 투자자 피해 확인
북한 해커 조직 소행?

게티이미지뱅크

연말정산 간소화 서비스 기간을 맞아 국세청을 사칭하는 해킹 이메일이 유포되고 있어 이용자들 주의가 필요하다는 분석이 나왔다.

컴퓨터 보안업체 이스트시큐리티는 17일 비트코인과 같은 가상자산 투자자들을 상대로 한 국세청 사칭 사이버 공격이 포착되고 있다며 주의를 당부했다.

이스트시큐리티에 따르면, 이번 공격은 국세청에서 발송한 안내문으로 위장한 ‘[국세청] 세무조사 출석요구 안내통지문’ 제목 이메일을 통해 지난 12일 확산됐다. 공격자들은 발신자 이메일 주소를 실제 국세청 도메인 ‘국세청<hometaxadmin@nts.go.kr>’으로 보이도록 조작해 이용자들에게 혼란을 줬다.

이스트시큐리티 관계자는 “발신지의 공식 주소인지 여부를 확인하는 것은 해킹 메일을 구분하는 대표적인 방법의 하나인데, 공격자가 이메일 발송 서버를 구축하거나 별도 설정을 통해 실제 주소처럼 보이도록 조작하는 경우도 있다. 또 실제 주소를 도용하는 경우도 있으므로 발신지 주소를 100% 신뢰해선 안 된다”고 설명했다.

이번 공격에 쓰인 이메일 본문에는 실제 국세청 홈택스의 세무조사 신고 통지문처럼 보이는 내용이 담겨 있다. 또 ‘세무조사 신고서류 안내.pdf’ 문서 파일이 첨부된 것처럼 보여진다. 하지만 이는 실제 메일에 첨부된 파일이 아니라는 게 이스트시큐리티 쪽 설명이다.

이스트시큐리티는 “공격자들이 국내 한 경제문화교류협회 사이트와 통신한 뒤, 네이버 계정 피싱용 ▶‘navearcorps[.]help’, ▶‘mybox-naves[.]com’ 서버로 연결해 계정 탈취를 시도한 것으로 보인다”고 밝혔다. 이어 “해킹 경유지로 쓰인 공격자 서버에서 특정인의 주민등록증, 운전면허증, 사업자등록증 등 파일이 함께 발견됐다”며 “피싱 공격을 당한 가상자산 투자자들 이메일에 저장된 개인정보가 유출됐을 가능성이 있다고 보고 후속 분석 작업을 벌이고 있다”고 설명했다.

이스트시큐리티는 이번 공격이 북한 해커 조직으로 추정되는 ‘탈륨’ 또는 ‘김수키’와 연관 있는 것으로 보인다고 밝혔다.

정인선 기자 ren@hani.co.kr