IT

아이뉴스24

연말정산 기간 노렸다..'기부금영수증 발급' 사칭 해킹메일 발견

최은정 입력 2021. 01. 24. 13:18 수정 2021. 01. 24. 14:26

기사 도구 모음

국내 재난 구호모금 민간단체를 사칭한 해킹 이메일 공격이 발견됐다.

24일 보안업체 이스트시큐리티에 따르면 사이버 공격자는 재난 구호모금 민간단체인 '희망브리지 전국재해구호협회'에서 후원금 기부증서를 보내주는 것처럼 속여 특정 개인에게 악성 이메일을 발송했다.

기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다. 전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.
음성 기사 옵션 조절 레이어
번역beta

Translated by kakao i

번역할 언어 선택
글자 크기 조절 레이어
최근 주식투자 메신저 '공급망 공격'과 동일 수법..탈륨 배후 추정

[아이뉴스24 최은정 기자] 국내 재난 구호모금 민간단체를 사칭한 해킹 이메일 공격이 발견됐다.

24일 보안업체 이스트시큐리티에 따르면 사이버 공격자는 재난 구호모금 민간단체인 '희망브리지 전국재해구호협회'에서 후원금 기부증서를 보내주는 것처럼 속여 특정 개인에게 악성 이메일을 발송했다.

해당 메일 본문에는 "2021 신종 코로나바이러스 감염증(코로나19) 대응에 모아주신 마음에 감사드린다"는 글이 적혀있다. 이와 함께 후원자의 기부금이 마스크를 구입하기 어려운 가정, 의료진과 자원봉사자, 자가격리 이웃 등을 위해 쓰인다는 내용이 자연스러운 우리말로 표현돼 있다.

문종현 이스트시큐리티 이사는 "해커는 실제 존재하는 기관의 도메인처럼 보이도록 정교하게 메일 주소를 만들어 보냈다"며 "해당 기관이 아닌 다른 서버를 악용해 발신지 주소를 조작한 것으로 분석된다"고 말했다.

'다량 기부금영수증 발급 신청서_양식_개인(.xlsb)' 파일에서 '콘텐츠 사용' 버튼을 눌렀을 때 나오는 실제 엑셀 시트 화면. [이미지=이스트시큐리티]

이번에 발견된 메일에는 악성 압축파일(.zip)이 첨부돼 있는데, 이 파일을 열면 '2021코로나19대응_기부증서(.pdf)'와 '다량 기부금영수증 발급 신청서_양식_개인(.xlsb)' 문서가 포함돼 있는 것을 확인할 수 있다.

'기부증서(.pdf)'의 경우 정상적인 문서지만, 기부금영수증 발급 신청서 양식(.xlsb)은 악성 파일이다. 이 악성 파일을 사용자가 열게 되면 '콘텐츠 사용' 버튼을 눌러 매크로를 활성화하도록 유도한다.

사용자가 콘텐츠 사용 버튼을 클릭하는 순간부터 악성 기능이 시작된다. 이후 사용자 PC는 해커가 지정한 명령제어(C2) FTP 서버와 통신을 시도해 추가 악성코드가 호출되고, 해커의 의도에 따라 원격제어 등 행위가 이어져 추가 피해로 이어질 수 있다.

콘텐츠 사용 버튼을 누른 이후, 사용자에게는 실제 엑셀 형식으로 작성한 시트가 나타난다. 엑셀 시트 A1 칸에 '다량 기부금영수증 발급 신청서 작성 방법'이라는 제목과 함께 기부자 성명, 기부 금액, 주민등록번호, 기부자 주소 등을 기입할 수 있는 표가 마련돼 있다. 이 때문에 사용자가 이 파일이 악성이라고 인식하기 더욱 어려울 수 있다는 게 회사 측 설명이다.

이와 관련 문종현 이사는 "해커는 연말정산 시기에 맞춰 절묘한 사회공학적 기법을 악용한 것"이라며 "실제 모금단체 공식 웹사이트에도 '기부금영수증 발급 안내'를 하고 있어 신뢰기반 공격에 쉽게 노출될 수 있다"고 말했다.

더불어 이스트시큐리티는 이번 공격에 쓰인 C2 서버의 주소(kvz.factorgpu[.]com)가 최근 사설 주식투자 메신저 이용자를 겨냥한 공급망 공격, 국내 대형 포털 사칭 피싱 사이트 공격 사례 등과 연결된 악성파일의 C2 서버(search.greenulz[.]com)와 동일한 IP 대역(23.106.160.32)이라고 밝혔다.

또 기관·기업의 메일 주소와 같은 형태로 메일을 발송하는 공격 수법이 지능형지속위협(APT) 해커 조직인 '탈륨(김수키)'과 일치한다고 분석했다.

문 이사는 "주식투자 메신저 공급망 공격, 포털 메신저 사칭 피싱 사이트 공격은 'XSL 스크립트 프로세싱' 기법과 연결되고, 당시에 발견된 변종 악성문서의 매크로 방식과 이번 스피어 피싱 공격에서 유사성이 확인됐다"고 강조했다.

그러면서 "이번 악성문서 작성자의 계정도 여러 변종에서 발견된 것과 일치하는 것으로 나타났다"고 덧붙였다.

최은정기자 ejc@inews24.com

Copyright ⓒ 아이뉴스24. 무단전재 및 재배포 금지

포토&TV

    이 시각 추천뉴스