연합뉴스

'세무 위반 통지' 메일 클릭 주의…원격제어 악성코드 유포

입력 2026-07-19 06:05:01

다음 내용이 궁금하다면?

불편하시다면 뒤로 가기를 눌러주세요


72시간 제출 압박하며 실행파일 다운로드 유도


원본 파일 삭제해 감염 사실 인지 어렵게 설계




악성코드 유포

[이스트시큐리티 제공. 재판매 및 DB 금지]


(서울=연합뉴스) 오지은 기자 = 세무 당국의 위반 통지를 사칭해 악성파일 실행을 유도하는 피싱 메일이 유포되고 있어 이용자들의 각별한 주의가 요구된다.


해당 악성파일은 중국산 원격제어 소프트웨어를 설치한 뒤 원본 파일을 스스로 삭제해 감염 사실을 알아차리기 어렵도록 설계된 것으로 분석됐다.


정상 파일 공유 서비스를 경유하는 방식까지 사용해 경계심을 낮추는 만큼 압박성 세무 안내 메일에 포함된 실행 파일은 열어보지 말아야 한다.


◇ 세무 위반 통지 사칭…링크 클릭 유도


19일 이스트시큐리티 대응센터(ESRC)에서 운영 중인 이메일 모니터링 시스템에 따르면 해당 메일은 본문에 삽입된 링크로 악성 파일을 다운로드하거나 실행하도록 유도하고 있다.


ESRC에 따르면 이번 공격은 '세무 위반 및 제재 통지'를 제목으로 수신자에게 제출 기한을 압박한 뒤 외부 파일 링크로 악성 파일을 배포하는 방식이 사용됐다.


ESRC는 해당 파일이 중국산 원격제어 소프트웨어를 설치하는 드로퍼(악성 프로그램)라고 분석했다.




세무위반 통지

[알약 블로그 제공. 재판매 및 DB 금지]


구체적으로 공격자는 무료 웹메일 서비스로 세무 당국의 위반 통지를 사칭한 메일을 국내 기업 담당자에게 발송했다.


메일은 세무 검사 결과 특정 조항을 위반했다는 내용과 함께 72시간 이내에 제출하도록 명시해 수신자가 링크를 실행하도록 압박했다.


링크에 접속하면 파일 공유 서비스에 업로드된 세금 위반 코드 압축 파일이 다운로드되며 내부에 세금 위반 코드 설치 파일이 존재한다.


◇ 원격제어 악성코드 설치…원본 파일 삭제로 은폐


세금 위반 코드 설치 파일은 실행 시 내부에 숨겨진 원격제어 소프트웨어를 설치하는 드로퍼로 중국 소재 개인 명의로 발급된 인증서로 서명돼있다.


인증서는 백신 탐지와 윈도우 스마트스크린 경고를 우회하는 데 악용된다.


악성파일이 설치되면 원격제어 소프트웨어를 내려받은 뒤 원본 파일을 자가 삭제한다.


이때 설치경로를 사용자에게 노출하지 않으며 서비즈 표시명을 정상 서비스로 오인하도록 위장하고 원본 파일을 삭제해 사용자는 실행 사실 자체를 인지하기 어렵다.


이스트시큐리티는 "이번 공격은 세무 위반이라는 소재로 수신자의 판단을 저해하고 정상 서비스 경유로 악성 행위를 은폐한 사례다"라며 "정상 서비스 주소라 하더라도 세무 압박성 메일에 포함된 실행 파일 다운로드는 실행해선 안 된다"라고 당부했다.


built@yna.co.kr



인기상품 확인하고 계속 읽어보세요!

5

원치 않을 경우 뒤로가기를 눌러주세요.

연합뉴스 콘텐츠 더보기

해당 콘텐츠 제공사로 이동합니다.

많이 본 최근 기사

관심 많은 기사