안녕하세요 국세청입니다? 국세청 사칭 피싱 기승

이 시간 주요기사

뉴스 > IT·인터넷

연말정산 해야 되는데… 국세청 사칭한 이메일 피싱 급증 추세
보이스피싱 여전한데 신종 피싱까지 등장… 큐싱·AI 피싱 ‘주의’

김기찬 기자 기자페이지 + 입력 2024-12-08 16:00:00

“안녕하세요. 국세청 전자(세금) 계산서입니다. 세부 내용은 첨부파일을 클릭하십시오. 첨부 파일이 열리지 않을 경우 파일을 사용자 PC에 저장하고 인터넷을 통해 열람하세요.”

국세청 출입기자조차 국세청 사칭 피싱 메일을 누를 뻔했다. 연말정산을 앞둔 9일 국세청 홈택스를 사칭해서 악성 첨부파일을 설치하도록 유도하는 메일이 뿌려지고 있다. 마치 국세청이 보낸 것처럼 국세청 홈택스 사진도 첨부했다. 그러나 국세청은 개인에게 전자우편을 보내는 일은 극히 드물다고 밝혔다.

피해자는 나도 모르는 세금이 부과됐는지 궁금해서 낚시에 걸리듯 링크나 첨부파일을 누르기 마련이다. 국세청은 수정신고․탈세제보․세무조사와 관련하여 전자우편을 보내지 않는다. 정교하게 만들어진 피싱 메일은 ‘보안메일 비밀번호 인증창’까지 띄우지만 국세청은 “계정정보를 요구하지 않으므로 아이디와 비밀번호를 입력하지 말라”고 충고했다.

피싱 이메일을 살펴보면 발송자 메일은 정부가 아닌 애플 아이클라우드(iCloud)였다. 국세청 관계자는 “국세청 발신자 주소는 @nts.go.kr와 @hometax.go.kr 둘뿐이다”고 설명했다. 만약 발송자 메일이 정부이더라도 국세청을 사칭한 이메일 피싱일 가능성이 크니 조심해야 한다.

국세청은 메일을 통해 계정 정보를 요구하지 않는다. 이런 까닭에 국세청 관계자는 “국세청을 사칭한 피싱 메일 첨부파일을 클릭하면 각종 정보를 탈취하려는 시도가 생긴다”면서 “아이디와 비밀번호 등을 절대 입력하지 않아야 하고 첨부파일을 다운로드하지 않는 것도 중요하다”고 설명했다.

안랩은 부가가치세 세금 신고 기간만 되면 국세청 사칭 메일이 급증한다고 밝혔다. 안랩 ASEC(AhnLab Security Intelligence Center)는 “부가가치세(VAT) 및 기타 세금을 신고할 때마다 국세청(NTS)을 사칭하는 피싱 이메일이 눈에 띄게 증가하고 있다”면서 “국세청을 사칭한 피싱 사례는 수년째 이어지고 있지만 안랩이 파악한 유포 추세는 2024년에 크게 늘었다”고 발표했다.

국세청 사칭 피싱 메일은 악성 링크나 실행파일을 첨부한다. 이메일 본문에 하이퍼링크를 걸어서 악성코드가 존재하는 웹사이트로 연결하거나 이메일에 첨부한 실행파일로 정보를 빼돌린다. 공격자는 악성 링크와 파일을 통해 피해자 시스템 정보와 웹 브라우저 계정·개인정보 등을 훔친다. 시간이 흐를수록 더 많은 정보가 유출되고 결국 유출된 정보를 바탕으로 2·3차 피해로 이어질 수 있다.

안랩은 악성 실행파일을 8가지 종류로 파악했다. 이 가운데 DLL 실행파일은 DLL 하이재킹 기법으로 악성행위를 수행한다. 악성 기능을 수행한 DLL 파일은 압축파일(NTS_eTaxInvoice.zip)로 유포됐다. 압축된 파일(NTS_eTaxInvoice.exe)은 하이하이소프트 PDF 리더를 이름만 국세청전자세금계산서로 바뀌었다. 그러나 파일이 작동되면 함께 있던 파일(msimg32.dll)이 DLL Hijacking 방식으로 악성 행위를 수행하게 된다.

HTML 도움말 파일(CHM)도 조심해야 한다. 국세청이나 금융회사를 사칭한 CHM 파일은 소프트웨어 패키지와 함께 배포되는데 실행과 동시에 악성 스크립트가 자동 실행된다. 국세청 사칭 CHM 파일은 세금계산서(NTS_eTaxInvoice.chm)처럼 꾸며서 보안메일 비밀번호 인증창까지 띄운다. 악성 CHM 파일은 BAT와 VBS 스크립트 파일을 생성해서 사용자 정보를 빼돌리고 다른 악성코드를 내려받기도 했다.

안랩은 “피싱 공격에서 사용자의 관심을 끌 수 있는 주제를 지속적으로 악용하고 있다”고 안내했다. 예를 들면 세금 납부 기간에는 국세청으로부터 합법적인 이메일을 받을 수 있으므로 피싱 메일에 특별히 주의해야 한다는 뜻이다. SK쉴더스는 3일 기자 간담회에서 인공지능(AI) 보안 위협을 경고했다. AI를 활용한 피싱 공격이 기승을 부릴 수 있기 때문이다. 한국인터넷진흥원 이동근 디지털위협대응본부장은 “연말연시 사이버 보안 위협에 대비해 기업과 국민 모두 철저한 보안 점검과 예방 조치를 취할 필요가 있다”고 강조했다.

공공기관을 사칭한 피싱 공격은 이메일뿐만 아니라 전화와 문자․QR코드로도 기승을 부린다. 전화사기 보이스피싱은 물론이고 휴대전화 문자(스미싱)와 큐싱(QR코드 피싱) 범죄도 눈에 띌 정도로 늘었다. 국회 입법조사처는 최근 ‘근절되지 않는 보이스피싱 실태와 대응 방안’ 보고서에서 보이스피싱이 수십년 동안 지속되면서도 근절되지 않고 있다고 지적했다. 입법조사처는 ‘보이스피싱 관련 불법스팸 사전 차단 미흡’ ‘청소년 보이스피싱 예방 교육 미흡’ 등을 시급한 과제로 꼽았다.

2022년 3만7122건에 불과했던 스미싱 탐지·대응 건수는 지난해 50만3300건으로 늘었고, 올해 상반기에만 88만7859건이 탐지됐다. 문자를 통한 피싱 범죄가 일상화되고 있을 정도로 폭증하는 추세다.

보이스피싱·스미싱 등이 기승을 부리고 있는 가운데 큐싱 등 신종 피싱 범죄도 등장하면서 국민의 일상을 위협하고 있다. 큐싱은 공공장소나 서비스 등에 부착된 정상적 QR코드 위에 해커가 만든 악성 QR코드를 덧붙이는 등의 방식으로 이용자의 촬영을 유도해 악성 애플리케이션(앱)이나 해킹 프로그램을 설치하도록 만드는 피싱사기 수법이다. 큐싱에 당할 경우 악성 앱이 설치돼 개인·금융정보를 탈취당하고 소액결제를 유도하는 등의 피해를 입을 수 있다.

보안업계는 AI 기술을 활용한 피싱 범죄를 우려했다. 딥페이크·챗 GPT 등 AI 기술을 악용한 정보 탈취 시도가 늘어날 것으로 예상되면서다.