세무 위반 통지 메일 함부로 클릭했다간…회사 PC 화면·파일까지 빼간다
[서울=뉴시스]윤정민 기자 = 세정당국의 세무 위반 통지로 위장해 국내 기업 PC를 장악하려는 피싱 메일이 발견됐다. 메일에 적힌 링크를 통해 정상 프로그램으로 위장한 원격제어 악성코드가 설치될 수 있어 주의가 요구된다.
19일 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 최근 국내 기업 담당자에게 '세무 위반 및 제재 통지'라는 제목의 피싱 메일이 발송됐다.
공격자는 해외 무료 웹메일 계정을 이용하면서도 세정당국이 세무 검사 결과를 통지한 것처럼 메일을 꾸몄다. 메일에는 특정 소득세법 조항 위반이 확인됐으며 통지를 받은 뒤 72시간 안에 관련 문서를 제출하지 않으면 법적 조치를 받을 수 있다는 내용이 담겼다.
수신자가 메일 본문에 있는 링크를 누르면 파일 공유 서비스 '라임와이어'에 올라온 '세금 위반 코드.zip' 파일이 다운로드된다. 압축파일 안에 든 '세금 위반 코드.exe'를 실행하면 중국 업체가 개발한 상용 원격제어 프로그램 '알디뷰어(RdViewer)'가 사용자 몰래 설치된다.
공격자가 악성파일을 이메일에 직접 첨부하지 않고 정상 파일 공유 서비스의 다운로드 링크만 전달한 것도 특징이다. 메일 보안 시스템의 첨부파일 검사를 피하기 위한 수법이다.
◆정상 프로그램·인증서로 위장…재부팅해도 원격제어 유지
악성파일이 실행되면 원격제어 프로그램은 사용자 프로필 내부의 숨김 경로에 설치된다. 이후 '알디뷰어 클라이언트 서비스(RdViewer Client Service)'라는 이름의 윈도 서비스로 등록돼 PC를 재부팅해도 자동으로 실행된다.
설치가 끝나면 최초 실행파일은 스스로 삭제된다. 이용자가 파일을 실행했다는 사실을 알아차리기 어렵게 하고 사후 분석과 대응을 방해하려는 조치다.
공격에는 유효한 코드서명 인증서도 동원됐다. ESRC 측은 악성 실행파일이 중국 랴오닝성 소재 개인 명의로 발급된 인증서로 서명돼 있어 윈도 스마트스크린 경고나 보안 제품의 평판 기반 탐지를 피하는 데 악용될 수 있다고 설명했다.
설치된 원격제어 프로그램도 버전 정보를 윈도의 정상 시스템 프로세스인 'svchost'로 위조했다. 이 프로그램은 공격자가 운영하는 별도 명령제어(C2) 서버에 접속해 PC 화면과 파일, 오디오 등에 접근할 수 있는 원격제어 통로를 연다. 감염되면 공격자가 피해자의 PC를 직접 조작하거나 내부 자료를 빼낼 수 있다.
ESRC는 세무 관련 파일명과 국내 기업을 겨냥한 발송 정황, 중국산 원격제어 프로그램과 중국 명의 인증서가 함께 사용된 점을 토대로 국내 조직을 표적으로 한 원격 장악 시도로 분석했다.
◆법적 조치·제출 기한 내세워 판단 재촉
이번 공격은 세무 위반이라는 소재와 짧은 제출 기한을 결합해 기업 담당자의 불안감을 자극한 것이 특징이다. 세무·법무 관련 통지는 미처 대응하지 않을 경우 불이익이 발생할 수 있다는 인식이 강해 수신자의 즉각적인 행동을 유도하는 피싱 소재로 악용될 수 있다.
특히 메일이 국내 기업명을 수신자로 표시하고 구체적인 법 조항과 제출 기한까지 제시해 업무상 전달된 문서처럼 꾸며졌다. 그러나 발신 주소는 세정당국의 공식 도메인이 아닌 해외 무료 웹메일 계정이었고 요구 문서도 공식 전자신고 시스템이 아닌 외부 파일 공유 서비스에서 내려받도록 했다.
이스트시큐리티는 공식 도메인이 아닌 주소에서 발송된 세무·법무 관련 메일의 링크나 파일을 실행하지 말고 공식 기관을 통해 통지 사실을 별도로 확인해야 한다고 당부했다. 또 파일 탐색기에서 확장자가 표시되도록 설정해 내려받은 파일이 실행파일(EXE)인지 확인해야 한다고 설명했다.
정상 파일 공유 서비스 주소를 사용하거나 유효한 디지털 서명이 표시되더라도 파일의 안전성이 보장되는 것은 아니므로 발신 경로와 통지 내용을 별도로 검증해야 한다고 강조했다.
◎공감언론 뉴시스 alpaca@newsis.com ...
이 뉴스, 어떠셨어요?
탭 한 번으로 반응 · 로그인 불필요