연말정산 환급금이 들어오는 시기를 맞아 과세 당국을 사칭하는 사이버 공격이 기승을 부리고 있다. 보안업계는 메일 발신자를 확인하고 출처가 불분명한 첨부파일 등을 클릭하지 말라고 당부했다.

2일 업계에 따르면 최근 세금 고지서 등으로 위장한 바로가기(LNK) 파일 형태 공격이 늘어났다.

안랩이 최근 발간한 '지능형 지속 위협 공격 동향 보고서'에서는공격자가 '스피어 피싱'(Spear Phishing) 이메일에 악성 코드를 탑재한 바로가기 파일을 첨부해 위장했다.

이메일에 첨부된 악성 명령어를 실행하면 윈도우 운영체제에 탑재된 파일 전송 프로그램 'curl.exe'가 작동한다.

백신 프로그램에 탐지되는 것을 피하기 위해 PC에 설치된 시스템 도구를 '숙주'로 삼아 스스로 바이러스를 배달하도록 만든 것이다.감염된 컴퓨터는 켤 때마다 악성 명령어를 자동 실행한다.

깃허브나 구글 드라이브 등에서 악성 코드를 유포하기도 한다. 해커는 자신이 운영하는 온라인 공간에서 악성 HTA 파일을 유포한다.

이후 윈도우 파일 전송 프로그램을 활용해 악성 HTA 파일을 임시 폴더에 다운로드하고 실행한다. 이 과정을 거쳐 실행된 악성코드는 화면에 미끼 문서를 띄워 사용자를 안심시킨다.

하지만 뒷단에서는 컴퓨터 시스템 정보와 주요 파일, 가상 자산 관련 정보 등을 빼돌리는 '인포스틸러' 악성코드가 작동한다. 해커가 잠입하도록 돕는 '백도어'를 만들기도 한다.

이러한 악성 코드들은 '국세 고지서.pdf.lnk', 'shcard_202512.html.lnk', '유튜브 캠페인 유료 파트너십 제안.docx.lnk' 등의 파일에 탑재됐다.


이스트시큐리티 역시 보안 권고문을 통해 연말정산과 급여 명세서, 세무 관련 안내를 빙자한 사이버 공격 위험성을 경고했다.

이스트시큐리티는 연말 정산과 급여, 세무 관련 메일은 '지금 바로 확인하지 않으면 문제가 생긴다'는 심리를 자극한다고 진단했다.

그러면서 기업이 임직원들에게 연말 정산 메일 관련 주의를 줘야 한다고 당부했다. 외부 반출 문서와 계정 권한 통제권, 보안 설루션 업데이트 여부도 확인하라고 권장했다.

국세청도 사칭 이메일을 주의하라고 경고했다. 당국은 '민원 증명'과 '세금 신고', '세무조사' 관련 메일을 보내지 않는다며 의심스러운 메일은 열람하지 말라고 안내했다.

국세청 발신자 주소(@nts.go.kr, @hometax.go.kr)가 아닌 사용자가 보낸 링크나 첨부파일을 클릭하지 말라고도 공지했다.

국세청은 "국세청 발신 메일은 아이디와 패스워드 등 계정정보를 요구하지 않는다"며 "의심스러운 메일은 포털에 스팸 신고 후 삭제하길 바란다"고 안내했다.

한국인터넷진흥원(KISA)도 주의를 당부했다. 특히 메일 첨부파일의 확장자를 확인하고, 문서 아이콘으로 위장한 실행파일(.exe) 등은 클릭하지 말라고 설명했다.

minjae@news1.kr