연말정산 환급 시즌을 노린 사이버 공격이 확산되고 있습니다. 세무 당국을 사칭한 이메일로 악성 파일을 유포하는 방식입니다. 보안업계는 출처가 불분명한 첨부파일과 링크를 열지 말 것을 거듭 당부하고 있습니다.
2일 업계에 따르면 최근 세금 고지서나 환급 안내로 위장한 바로가기(LNK) 파일 형태의 공격이 늘고 있습니다. 안랩이 발간한 '지능형 지속 위협 공격 동향 보고서'에 따르면 공격자들은 특정 개인이나 조직을 노린 '스피어 피싱' 이메일에 악성 코드가 담긴 LNK 파일을 첨부해 발송하고 있습니다.
이 파일을 실행하면 윈도우 운영체제에 기본 탑재된 파일 전송 프로그램 'curl.exe'가 작동합니다. 별도의 악성 프로그램을 설치하는 대신, PC에 이미 설치된 정상 시스템 도구를 이용해 악성 코드를 내려받는 방식입니다. 백신 탐지를 우회하려는 수법입니다. 감염이 이뤄지면 PC를 켤 때마다 악성 명령어가 자동 실행되도록 설정됩니다.
깃허브나 구글 드라이브 등 외부 저장소를 통해 악성 HTA 파일을 유포하는 사례도 확인됐습니다. 사용자가 파일을 실행하면 화면에는 정상 문서처럼 보이는 미끼 화면이 뜨지만, 실제로는 컴퓨터 시스템 정보와 주요 파일, 가상자산 관련 정보 등을 빼가는 '인포스틸러' 악성코드가 작동합니다. 해커의 원격 침투를 돕는 '백도어'가 설치되는 경우도 있습니다.
이 같은 악성 파일은 '국세 고지서.pdf.lnk', 'shcard_202512.html.lnk', '유튜브 캠페인 유료 파트너십 제안.docx.lnk' 등 문서 파일처럼 위장한 형태로 배포되고 있습니다.
이스트시큐리티도 보안 권고문을 통해 연말정산, 급여 명세서, 세무 안내를 빙자한 공격이 늘고 있다고 경고했습니다. '지금 확인하지 않으면 불이익이 있다'는 식으로 긴급성을 강조해 사용자의 클릭을 유도한다는 설명입니다. 기업에는 임직원을 대상으로 관련 메일 주의 안내를 강화하고, 계정 권한 관리와 보안 솔루션 업데이트 여부를 점검하라고 권고했습니다.
국세청 역시 사칭 이메일에 대한 주의를 당부했습니다. 국세청은 '민원 증명', '세금 신고', '세무조사'와 관련한 안내 메일을 발송하지 않는다고 밝혔습니다. 발신 주소가 '@nts.go.kr' 또는 '@hometax.go.kr'이 아닌 경우 링크나 첨부파일을 열지 말 것을 안내했습니다.
국세청은 "발신 메일에서 아이디와 비밀번호 등 계정 정보를 요구하지 않는다"며 "의심스러운 메일은 스팸 신고 후 즉시 삭제해 달라"고 밝혔습니다.
한국인터넷진흥원(KISA)도 첨부파일의 확장자를 반드시 확인하라고 강조했습니다. 문서 아이콘으로 위장한 실행 파일(.exe)이나 바로가기 파일(.lnk)은 특히 주의해야 한다는 설명입니다.