하다하다 장학금 신청으로 속인다…사칭 이메일 공격 '주의'

[디지털데일리 김보민기자] 사이버 공격에서 빼놓을 수 없는 대표적인 위협 방식은 '사칭'이다. 국세청을 비롯해 주요 공공기관인 척 자신을 속여 해킹 이메일을 보내는 사례는 매년 포착되고 있다.

최근에는 탈북민 학생 장학금 신청서로 위장해 공격을 가한 사례가 등장했다. 위협 방식이 진화하고 있는 만큼, 개별 단위에서 각별한 주의가 필요한 시점이다.

4일 지니언스시큐리티센터(GSC) 조사에 따르면, 금융소득 및 세무조사 관련 안내처럼 위장한 코니(Konni) 공격이 이어지고 있다. 주요 목표는 대북 분야 종사자이고, 비트코인 등 가상자산 개인 거래자도 일부 존재하는 것으로 알려졌다.

국내에 관련 사이버 위협이 반복 발생하자, 국세청은 홈페이지 공지사항을 통해 해킹 메일을 주의해야 한다며 안내문을 게시하기도 했다. 세금 신고철에 맞춰 국세청을 사칭한 사례가 늘고 있다는 점도 지속 강조했다.

공지에 따르면 공격자는 '국세청 세무조사 안내문' 등 해킹 메일을 보낸 것으로 확인됐다. 국세청은 어떠한 경우에도 세무조사 출석 요구를 이메일로 보내지 않는다며, 의심스러운 문구가 있는 경우 열람하지 말고 신고 후 삭제하도록 안내했다.

공격자는 국세청 사칭뿐만 아니라 탈북민 학생 장학금 신청서처럼 위장한 내용도 활용했다. 특히 국세청 사칭 이메일에 속아 내부 정보를 탈취한 뒤, 후속으로 장학금 신청 등으로 위장한 해킹 공격을 가한 경우가 포착됐다.

대표적으로 해킹 이메일 상단을 'hwp', 'pptx' 문서가 첨부된 것처럼 꾸몄는데, 실제로는 첨부 파일이 아닌 특정 주소로 연결되게 설정했다. 올 6월 열릴 재단 이사회에서 탈북 학생 장학금 추가 지원에 대한 토의를 진행할 예정이라며, 장학금 신청서 양식을 보내는 방식이었다. 장학금 담당자의 실제 이메일 계정이 도용됐고, 공격자는 흔적을 지우기 위해 발신함에서 기록을 삭제하는 움직임도 보였다.
 

이메일 공격 예시 [ⓒ지니언스시큐리티센터]

이러한 공격이 발생한 것은 어제오늘 일이 아니다.

과거에도 첨부 파일이 정상인 척 사용자를 속여 공격을 가한 사례가 발생했다. '세무조사 신고 서류 안내', '세무조사 출석 요구', '소명자료 제출 요청 안내', '국세청 종합소득세 신고 관련 해명자료 제출 안내', '부가가치세 과세 표준 증명원 제출 안내문', '개인정보 수집 이용 동의서' 등의 이름으로 압축 내 악성 바로가기(LNK) 파일을 숨겨 배포하는 것이 대표적이다.

특히 관련 공격이 김수키를 비롯해 북한 배후 조직으로부터 추진됐을 가능성이 거론되면서 사용자 단위에서 각별한 주의가 필요해진 상황이다. 현재 국가 배후 위협 그룹은 단말에 설치된 백신 프로그램 탐지를 회피하기 위한 방안을 마련하고 있는 것으로 전해진다. GSC는 "최신 공격 동향을 참고해 유사한 위협에 노출되지 않도록 보안 강화에 관심과 노력을 기울여야 한다"고 강조했다.