국세 고지서 메일로 둔갑한 악성코드…북한 연계 해킹 재부상
국세 고지서로 위장한 악성코드가 이메일을 통해 국내 이용자들을 노리고 있다. 단순한 스팸 수준을 넘어, 사용자의 시스템 정보와 금융·인증 데이터를 정밀 탈취하도록 설계된 점에서 사이버 공격 양상이 고도화됐다는 평가가 나온다. 보안업계는 이번 공격을 북한 정찰총국 산하 해킹 조직으로 알려진 김수키 계열의 새로운 작전으로 추정하며, 공공기관과 기업, 개인 사용자 모두를 겨냥한 중장기 위협으로 보고 있다.
2일 이스트시큐리티 시큐리티대응센터 ESRC는 국세 고지서.pdftax_notic.zip이라는 이름의 압축 파일 형태로 제작된 악성코드가 국내에 유포된 정황을 포착했다고 밝혔다. 분석 결과 이 악성코드는 KimJongRAT으로 명명된 원격 제어형 악성코드로, 사용자가 파일을 열람하려고 클릭하는 순간 추가 악성 파일을 내려받는 구조로 설계됐다. 실제 고지서 양식을 사칭해 사용자의 의심을 최소화한 점도 특징이다.
압축 파일 내부에는 lnk 확장자의 실행 파일이 포함돼 있다. lnk는 윈도 환경에서 흔히 사용하는 바로가기 파일이지만, 공격자는 이 포맷을 악용해 명령줄을 숨기고 악성 스크립트를 실행한다. 사용자가 해당 lnk 파일을 일반 문서로 착각해 실행하면 컴퓨터가 공격자가 제어하는 원격 서버에 접속하고, 이 과정에서 추가 악성코드를 몰래 내려받아 설치하는 방식이다. 사용자가 직접 프로그램 설치를 승인하지 않아도 일련의 과정이 자동으로 진행되도록 구성됐다.
특히 공격자는 구글 드라이브 URL을 악성코드 유포 경로로 활용한 것으로 분석됐다. 클라우드 스토리지를 경유해 악성 파일을 배포하면, 네트워크 상에서는 정상 트래픽처럼 보이기 때문에 보안 솔루션의 탐지 우회를 노릴 수 있다. 기업·기관에서 사용하는 보안 장비 상당수가 구글 도메인을 기본 신뢰 대상으로 분류하는 점을 겨냥한 설계로 풀이된다. 이런 방식은 악성코드 유포 인프라를 별도로 구축하지 않아도 된다는 점에서 비용과 추적 리스크를 동시에 낮춘다는 평가다.
ESRC 분석에 따르면 이번 공격은 사용자의 보안 환경과 시스템 설정에 따라 악성 행위를 유연하게 변경하는 특징을 보였다. 단순 정보 수집에 그치지 않고 운영체제 정보, 네트워크 구성, 설치된 보안 프로그램 현황 등을 먼저 파악한 뒤, 그에 맞춰 후속 모듈을 내려보내는 다단계 공격 구조가 확인됐다. 공격자는 이 과정을 통해 브라우저에 저장된 계정 정보, 암호화폐 지갑 데이터, 공인인증서로 사용돼 온 NPKI와 공공부문용 GPKI 인증서, 텔레그램과 디스코드 계정 정보 등 폭넓은 민감 데이터를 노린 것으로 파악됐다.
보안업계는 이번 KimJongRAT을 한국 사용자를 겨냥해 맞춤형으로 설계한 악성코드로 보고 있다. 수집 대상에 국내에서 널리 쓰이는 암호화폐 지갑과 인증서 종류가 포함돼 있고, 국세 고지서를 위장 소재로 선택한 점도 공격 타깃이 한국이라는 점을 방증한다는 분석이다. 지난 수년간 국내 외교안보·언론·연구기관 등을 상대로 스피어피싱을 반복해 온 김수키 조직의 활동 패턴과도 맞물린다는 지적이다.
유사한 위협은 해외에서도 관찰되고 있다. 미국과 유럽에서는 세금 신고, 전자청구서, 배송 안내 등을 사칭한 악성 이메일이 꾸준히 포착되고 있으며, 최근에는 클라우드 저장소와 협업툴을 연계해 탐지 회피를 시도하는 사례가 늘어나는 추세다. 다만 국내처럼 공인인증서 기반 전자서명이 널리 사용되는 환경에서는 단 한 번의 정보 탈취만으로도 금융·행정 서비스 계정 탈취 범위가 넓어질 수 있다는 점에서 피해 규모가 더 커질 수 있다는 우려가 제기된다.
정책·제도 측면에서 보면, 이번 사례는 전통적인 악성코드 탐지 중심의 보안 모델만으로는 충분히 대응하기 어렵다는 점을 드러냈다. 트래픽이 정상 클라우드 서비스로 보이기 때문에, 내부망에서의 행위 기반 탐지와 계정 이상 징후 모니터링 같은 보완책이 요구된다. 공공기관과 금융권에서 추진 중인 제로 트러스트 보안 전환, 다중 인증 및 하드웨어 보안 토큰 확대 도입 논의도 속도를 낼 필요가 있다는 지적이 나온다.
ESRC는 이용자 개인의 기본 보안 수칙 준수도 여전히 핵심 방어선이라고 강조했다. 윈도와 주요 소프트웨어를 항상 최신 버전으로 유지하고, 파일 탐색기에서 파일 확장자명을 표시하도록 설정해 lnk 등 실행 파일을 문서로 오인하지 않도록 해야 한다는 조언이다. 특히 세금 고지, 전자청구서, 공문서처럼 수신자가 열어볼 가능성이 높은 제목을 악용한 피싱이 많기 때문에, 출처가 불분명한 메일의 첨부 파일은 가급적 열지 않고, 발신 기관의 공식 경로를 통해 사실 여부를 재확인하는 습관이 필요하다.
보안 전문가는 이번 공격에 대해 국내 사용자의 사용 환경과 심리를 정교하게 분석한 표적형 위협이라고 평가하면서, 향후에는 인공지능 기반 스피어피싱과 악성코드 자동 생성 기술까지 결합될 가능성도 있다고 전망했다. 산업계는 국세 고지서 위장 공격을 계기로 이메일 보안 체계와 클라우드 트래픽 관리 방식을 전면 점검해야 한다는 목소리를 내고 있으며, 실제 시장에서 어떤 보안 기술과 제도가 빠르게 안착하느냐가 향후 사이버 방어력 수준을 가를 관건이 될 것으로 보인다.
