최근 "전자세금계산서 발급 메일 안내" 제목으로 국세청을 사칭한 이메일이 급속하게 유포되고 있는 것으로 나타났다.  

국세청은 "사칭메일의 첨부파일을 클릭하지 말고 해당포털의 고객센터에 신고후 삭제하기를 바란다"고 26일 당부했다.

국세청에 따르면 사칭 메일에는 “NTS_eTaxInvoice.ppt”와 같은 이름의 파일이 첨부돼 있는데, 이 첨부파일을 다운로드하거나 파일을 실행하면 PC에 악성코드가 감염될 우려가 있다. 

메일 수신자가 관심을 가질만한 내용의 이메일을 발송해, 첨부된 악성 파일을 열어보도록 유도하는 전형적인 ‘스피어 피싱’ 방식이라는 설명이다.

다만 기존 이메일 스피어 피싱 공격에는 압축파일이나 마이크로소프트(MS)의 워드(WORD) 문서 형태의 악성 파일을 흔히 사용했으나, 이번 공격은 파워포인트 문서인 PPT 파일을 사용한 특징이 있다.

또한, 메일 수신자가 신뢰하고 첨부 파일을 열어보도록, 발신지 주소까지 실제 홈택스 도메인처럼 정교하게 조작했다.

메일 수신자가 정상적인 세금계산서로 오인해 이메일에 첨부된 PPT 파일을 열어보면, 파워포인트 프로그램이 실행되는 동시에 ‘보안알림’이 나타난다.

보안알림에는 콘텐츠의 출처를 신뢰할 수 없다며, 출처를 신뢰할 경우 ‘매크로 포함’ 버튼을 누르도록 안내하는 내용이 담겨 있다.

만약 이 버튼을 클릭할 경우 파워포인트 화면에 아무런 내용이 나타나지 않지만 실제로는 공격자가 사전에 설정해둔 악성 명령을 실행할 준비가 완료된다. 

이후 빈 화면을 확인하고 파워포인트 프로그램을 종료하는 시점에 사용자가 알아챌 수 없게 특정 서버로 접속을 시도하는 것으로 알려졌다. 

국세청은 “메일의 발신자를 정확히 확인해 출처가 불분명한 첨부파일이나 인터넷주소(URL)는 실행하지 않도록 주의해 달라”고 당부했다. 

---