국세청을 사칭한 피싱 유형 악성코드 동향보고서
부가가치세 등 세금 신고 기간만 되면 현저히 급증한 유포 동향을 보이는 피싱 메일이 있다. 바로 국세청을 사칭한 건인데, 이와 관련하여 ASEC(AhnLab SEcurity intelligence Center)에서는 사용자들에게 주의를 요하기 위해 관련 컨텐츠를 다수 배포한 바 있다.
국세청을 사칭한 피싱 사례는 수 년 전부터 있어왔으나, 자사에서 파악한 그 유포 동향이 2024년에 들어서 눈에 띄게 증가한 것으로 확인되었다. 주요 특징으로는, 이메일의 발신자 주소를 조작하여 국세청에서 보내는 것과 동일하게 꾸며 이메일을 보내기도 하며, 첨부하는 악성코드의 파일 포맷을 다양하게 제작하여 첨부하기도 한다.
국세청을 사칭하여 유포되는 피싱 이메일은 악성코드를 전달하는 방법에 따라 크게 두 가지로 분류할 수 있다. 1) 이메일의 첨부파일 기능을 이용하는 것과, 2) 이메일 본문에 하이퍼링크를 걸어서 악성코드가 존재하는 웹사이트로 연결하는 방식이다. 공격자는 이메일에 파일을 첨부하여 보내는 과정에서 매우 다양한 파일 포맷을 사용하고 있다. 8가지 파일 포맷의 종류와 각 포맷 별 최종적으로 실행되는 악성행위를 요약하였다.
Fig 1. 피싱메일 예시
| 파일 포맷 | 최종 실행 악성행위 |
| HTML (스크립트 파일) | C2 서버에 사용자 계정정보 유출 |
| VBS (스크립트 파일) | Downloader 유형의 악성코드로 동작하며, 주로 PowerShell 커맨드 활용 (ex. Guloader 등) |
| PPT (문서 파일) | Downloader 유형의 악성코드로 동작 (ex. Lokibot, AgentTesla 등) |
| DLL (실행 파일) | 정상파일과 함께 DLL 하이재킹 기법으로 악성행위 수행 |
| SCR (화면 보호기 파일) | Dropper 유형의 악성코드로 동작 (NSIS 설치파일 포맷) |
| EXE (실행 파일) | Downloader/Infostealer 유형의 악성코드를 직접 실행 유도 (ex. GuLoader, Lokibot, Formbook, Remcos 등) |
| LNK (바로가기 파일) | 한글 파일의 확장자(.hwp)와 아이콘으로 위장하여 추가 악성코드 다운로드 |
| CHM (윈도우 도움말 파일) | MSHTA 프로세스를 통해 특정 URL에 존재하는 추가 스크립트 실행 |
Table 1. 각 파일 포맷 별 최종 실행 악성행위 요약
8가지의 파일 포맷 중 DLL 파일과 CHM 파일에 대해 간략히 살펴보면 다음과 같다.
- DLL (실행 파일)
DLL 파일을 공격에 활용한 사례는 다른 확장자 파일들과 동작 방식이 상이하다. 궁극적으로 악성 기능을 수행하는 DLL 파일은 ‘NTS_eTaxInvoice.zip’ 파일명의 압축파일을 통해 유포된다.
아래의 그림에서 확인된, 압축 파일 내부에 있는 ‘NTS_eTaxInvoice.exe’ 파일은 ‘Haihaisoft PDF Reader’ 라는 정상 파일이며, 파일명만 국세청 관련 키워드로 변경된 것이다. 해당 파일이 실행될 때 동일 폴더에 함께 존재하는 ‘msimg32.dll’이 DLL Hijacking 방식으로 동작하여 악성행위를 수행한다.
Fig 2. PDF 아이콘 모양의 정상 파일(NTS_eTaxInvoice.exe)과 악성 DLL(msimg32.dll)
현재는 추가 악성행위가 수행되기 위한 Git 저장소에 대한 연결이 불가하지만, Git 저장소에 존재하던 악성코드는 XWorm 으로 확인되었다. XWorm 악성코드는 피해PC의 웹캠, 키보드 모니터링(키로거) 뿐만 아니라 시스템 정보와 사용자 계정도 탈취가 가능하다.
이처럼 기존에는 공격자가 단일 실행파일을 전달하려고 하였으나, 최근 위의 사례와 같은 여러가지 방법을 시도하는 정황이 확인되어 사용자들의 각별한 주의가 필요하다.
- CHM (윈도우 도움말 파일)
CHM 파일은 컴파일 된 HTML 도움말 파일로, 정상적인 CHM 파일은 대부분 소프트웨어 패키지와 함께 배포된다. 악의적으로 제작된 CHM의 경우, 실행과 동시에 내부에 포함된 악성 스크립트가 Click 메소드를 통해 자동으로 동작하게 된다. 유포되는 파일명은 주로 국세청/가상 전자 거래소/금융 기업을 사칭하는 특징이 있다. 이 중 국세청을 사칭하여 ‘세금 계산서’를 위장한 공격 사례의 경우에는 기타 다른 확장자 사례와 동일하게 실제 전자 세금 계산서 파일명을 활용하였는데, 당시 확인된 파일명은 NTS_eTaxInvoice.chm 이었다.
Fig 3. 악성 CHM 실행화면
CHM 파일 실행 시 위의 그림과 같이 도움말 창이 생성되므로 사용자는 정상적인 과정으로 착각할 확률이 매우 높다. 또한 파일 구조 상, CHM 파일 내부에는 악성 스크립트가 포함된 HTML 파일이 존재하는데, MSHTA 프로세스를 통해 특정 URL에 존재하는 추가 스크립트를 실행한다.
Fig 3. CHM 파일 내부에 악성 스크립트가 포함된 코드 일부
위의 그림에서 mshta.exe 프로세스가 실행하는 URL에는 인코딩 된 파워쉘 명령어를 실행하는 JS(JavaScript) 코드가 존재하여, 최종적으로는 지속성 유지(Persistence)를 위한 Run 레지스트리 등록/공격자의 C2 서버로부터 명령어 수신/명령 실행 결과 전달 등의 기능을 수행한다.
해당 유형 외에도 동일한 파일명(NTS_eTaxInvoice.chm)으로 유포되는 다른 유형의 CHM 악성코드가 다수 확인되었다. CHM 파일의 특징인 악성 스크립트가 포함된 HTML 파일이 내부에 존재하는 포맷은 동일하지만, 해당 스크립트는 BAT 스크립트 파일과 VBS 스크립트 파일을 생성, 실행하는 것이 특징이다. 이를 통해 추가 파일을 다운로드하여 사용자 정보 탈취, Run 레지스트리 등록, 최종적으로 악성행위를 수행하는 다른 악성코드를 다운로드하는 등의 기능을 수행한다.
위에서 소개한 사례와 같이, 사용자들이 관심있어 할만한 주제를 피싱 공격에 적극적으로 활용하는 정황이 지속적으로 확인되고 있다. 특히, 세금 납부 기간에는 국세청에서 실제 정상적인 안내 메일이 수신될 수 있으므로 각별한 주의가 요구된다.
