계정 로그인하는 즉시 사용자 계정정보가 공격자 서버로 빠져나가는 형태
사용자 계정정보, 개인정보, 카드정보 통해 입력된 모든 개인정보 유출 가능성 커
[보안뉴스 김영명 기자] 최근 국세청을 사칭한 피싱메일이 유포되고 있는 정황이 확인됐다. 해당 피싱메일은 사내 메일의 비밀번호가 당일에 만료된다는 시급성을 강조하며, 계정이 잠기기 전에 암호를 유지하라는 내용으로 유포되고 있다.
![[보안뉴스 / 1.12.] 국세청 위장 피싱 메일 공격... 카드정보 등 개인정보 탈취 시도](http://www.boannews.com/media/upFiles2/2023/01/682516345_9410.jpg)
▲원문 메일[자료=안랩 ASEC 분석팀]
‘같은 비밀번호를 유지’라는 URL을 클릭하면 사내 메일 로그인 페이지가 나오며, 해당 로그인 페이지의 HTML 스크립트 코드도 확인할 수 있다. 코드에서 보듯이 사용자가 로그인을 하면 사용자의 계정정보가 공격자의 서버로 유출되는 형식을 띠고 있다.
사용자들은 메일뿐만 아니라 페이지 자체의 URL이 정상적인 도메인인지 확인 및 주의가 필요하다. 실제 이번 사례의 경우 최상위 도메인 접속 시 피싱을 위한 구성 파일들이 업로드돼 있는 웹 서버를 확인할 수 있었다.
![[보안뉴스 / 1.12.] 국세청 위장 피싱 메일 공격... 카드정보 등 개인정보 탈취 시도](http://www.boannews.com/media/upFiles2/2023/01/682516345_6712.jpg)
▲계정 입력 피싱 사이트[자료=안랩 ASEC 분석팀]
![[보안뉴스 / 1.12.] 국세청 위장 피싱 메일 공격... 카드정보 등 개인정보 탈취 시도](http://www.boannews.com/media/upFiles2/2023/01/682516345_5132.jpg)
▲로그인 페이지의 소스코드[자료=안랩 ASEC 분석팀]
공격자의 서버를 살펴보면 여러 피싱 사이트들을 만들 때 사용한 것으로 보이는 파일들이 있었으며, 특정 디렉토리에는 미국의 한 은행을 위장해 피싱을 수행하기 위한 스크립트 파일들 다수가 정교하게 만들어져 있었다. 특히, 로그인 페이지의 경우, 일반 사용자가 확인했을 때 은행의 실제 웹 페이지와 차이를 느끼지 못할 만큼 유사성이 높았다
안랩 ASEC 분석팀에 따르면, 이번 국세청 위장 메일 피싱 공격은 △공격자가 피싱을 위해 만든 로그인 페이지 △개인정보 기입 페이지 △카드 정보기입 페이지 등 각각 공격자에게 개인정보가 전달되는 방식에 대해 설명한다. 이외에도 △사용자 e-mail 정보 기입 페이지 △e-mail 계정에 대한 보안 질문 페이지가 추가로 존재한다.
![[보안뉴스 / 1.12.] 국세청 위장 피싱 메일 공격... 카드정보 등 개인정보 탈취 시도](http://www.boannews.com/media/upFiles2/2023/01/682516345_7512.jpg)
▲로그인 페이지[자료=안랩 ASEC 분석팀]
첫 번째로, 로그인 페이지에서 사용자가 계정정보를 입력하면, 입력된 계정정보는 공격자가 만들어둔 darkx/mainnet.php로 전송된다. php 사이트에서는 사용자의 계정정보와 IP 정보를 받아서 txt 파일 형태로 저장하고, 동일한 정보를 텔레그램으로 보낸다.
공격자가 각 피싱 페이지로부터 사용자의 개인정보를 수집하면 해당 페이지 이름과 같은 이름의 txt 파일에 페이지에서 수집된 정보들이 저장되는 것을 확인할 수 있다. 실제로 login.html을 통해 로그인했던 사용자들의 계정정보와 IP 정보가 login.txt 파일에 저장돼 있었다.
![[보안뉴스 / 1.12.] 국세청 위장 피싱 메일 공격... 카드정보 등 개인정보 탈취 시도](http://www.boannews.com/media/upFiles2/2023/01/682516345_3786.jpg)
▲개인정보가 저장되는 텍스트 파일[자료=안랩 ASEC 분석팀]
![[보안뉴스 / 1.12.] 국세청 위장 피싱 메일 공격... 카드정보 등 개인정보 탈취 시도](http://www.boannews.com/media/upFiles2/2023/01/682516345_2634.jpg)
▲사용자들의 계정 정보가 저장된 login.txt 파일[자료=안랩 ASEC 분석팀]
개인정보 상세 기입 페이지에서도 사용자가 입력한 정보들이 공격자의 php 사이트로 보내지고, 공격자는 이를 txt 파일에 IP 정보와 함께 수집하는 것으로 확인된다. 이때, 공격자가 수집하는 개인정보 중에는 우리나라의 주민등록번호와 같은 역할을 하는 사회보장번호(SSN)도 포함돼 있어 이러한 개인정보가 유출된다면 피해가 클 것으로 예상된다.
![[보안뉴스 / 1.12.] 국세청 위장 피싱 메일 공격... 카드정보 등 개인정보 탈취 시도](http://www.boannews.com/media/upFiles2/2023/01/682516345_4355.jpg)
▲상세 개인정보가 저장된 account_verify.txt 파일[자료=안랩 ASEC 분석팀]
공격자가 만들어둔 카드 정보 기입 페이지에서 사용자가 정보를 입력하면, 은행 사용자의 신용카드 번호, 카드 비밀번호, ATM 핀번호 등이 공격자로부터 비슷한 경로로 유출될 수 있다.
![[보안뉴스 / 1.12.] 국세청 위장 피싱 메일 공격... 카드정보 등 개인정보 탈취 시도](http://www.boannews.com/media/upFiles2/2023/01/682516345_9786.jpg)
▲카드 정보 기입 페이지[자료=안랩 ASEC 분석팀]
안랩 ASEC 분석팀이 이번에 찾아낸 공격자의 서버에는 은행을 사칭한 웹서버 외에도 모 기업의 로그인 페이지에 사용되는 PNG 이미지들, 미국의 특정 웹 호스팅 제공 업체의 로고 이미지가 있어 공격자가 해당 사이트들도 유사 피싱 사이트를 만들었을 것으로 추정된다.
사용자를 속이기 위해 공격자들은 다양한 기업을 위장해 정교하게 제작하고 있기 때문에 신뢰하지 않는 수신인으로부터 발송된 메일 열람을 자제해야 하며, 특히, 은행 피싱 사이트는 그 특수성 때문에 민감 정보 등을 포함한 다양한 개인정보가 유출될 수 있으므로 각별한 주의가 필요하다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
![[보안뉴스 / 1.12.] 국세청 위장 피싱 메일 공격... 카드정보 등 개인정보 탈취 시도](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
