국세청 고지서로 위장된 KimJongRAT 악성코드가 2025년 12월 국내에서 실제 유포 중이다. 공격 방식, 위험 정보, 예방 수칙을 분석해 누구나 따라할 수 있는 보안 가이드를 제공합니다.
 |
| 악성코드 주의보 |
안녕하세요. 이번 글에서는 최근 국내에서 실제 보고된 보안 위협 하나를 알려드리려 합니다.
2025년 12월, 세금 고지서로 위장된 피싱 메일이 유포되었고, 그 속에 포함된 파일을 실행하면 KimJongRAT 이 설치될 수 있다는 사실이 보안업체와 언론을 통해 확인되었습니다.
이 공격은 단순한 스팸이 아니라, 한국 사용자를 겨냥한 정교한 악성코드 배포 시도로, 금융·인증·개인정보 탈취 위험이 있습니다.
이번 글에서는 이 공격의 구조, 실제 위험, 그리고 우리가 즉시 적용할 수 있는 안전 수칙을 정리했습니다.
1. KimJongRAT과 최근 국내 유포 상황
이스트시큐리티(ESRC)와 국내 주요 언론들은 2025년 12월 2일, “국세 고지서로 위장된 악성코드가 국내에 유포 중”이라는 경고를 발표했습니다.
이 악성코드는 원격 제어형 트로이 목마(RAT)로, 과거부터 알려진 KimJongRAT의 변종으로 분석되고 있습니다.
특히 이번 유포는 한국 사용자를 표적으로 삼은 것으로 보안업체는 판단하며, 실제로 “국세 고지서.pdf”라는 이름을 사용한 압축 파일을 통해 전파되었습니다.
이런 점에서, 이 위협은 단순한 ‘불특정 스팸’이 아니라, 누구든지 피해자가 될 수 있는 ‘실제 당면한 위험’입니다.
2. 구체적인 공격 방식 — 피싱 메일 → ZIP → LNK → HTA → 악성코드
이번 KimJongRAT 공격은 다음과 같은 단계로 이뤄집니다:
공격자는 이메일을 통해 ‘국세_고지서_pdf.zip’이라는 압축파일을 발송합니다. 이 ZIP 파일이 국세청 고지서처럼 위장된 피싱 메일의 미끼입니다.
ZIP 내부에는 ‘국세고지서.pdf’라는 이름으로 된 .lnk (바로가기) 파일이 들어 있습니다. 사용자 입장에서 PDF 파일처럼 보이지만, 사실은 바로가기입니다.
사용자가 이 .lnk 파일을 실행하면, 내부 스크립트가 base64 인코딩된 URL을 복호화하고, 정상 윈도우 프로세스인 mshta.exe를 통해 특정 주소에 접속합니다. 거기서 .hta (HTML Application) 파일이 다운로드되고 실행됩니다.
HTA 파일이 실행되면, 문서처럼 보이는 미끼(디코이) 파일과 함께 실제 악성코드가 설치됩니다. 이 악성코드는 이후 사용자 PC에서 민감 정보를 수집해 외부 서버로 전송하고, 지속성을 확보할 수 있습니다.
또한 공격자는 보안 프로그램 활성 여부에 따라 서로 다른 페이로드를 배포하는 분기 방식도 도입한 것으로 나타났습니다.
이처럼, 일반적인 PDF 첨부 메일이 아니라 “ZIP → 바로가기 → HTA → RAT”이라는 다중 단계 방식을 사용해, 보안 탐지와 사용자 의심을 우회하려고 시도한 점이 특징입니다.
3. 어떤 정보가 노출될 수 있나 — 탈취 대상과 위험성
보안 리포트에 따르면, 이번 KimJongRAT 변종은 다음과 같은 정보를 탈취할 수 있는 것으로 분석됩니다:
- 브라우저에 저장된 로그인 정보, 쿠키, 암호화 키 등 브라우저 정보
- PC에 저장된 인증서 (예: NPKI/GPKI) 및 공인인증서 정보
- 암호화폐 지갑 관련 정보 (지갑 파일, 접근 정보 등)
- 메신저 계정 정보 (예: 텔레그램, 디스코드) 등 개인 커뮤니케이션 정보
- 시스템 정보 및 기타 민감한 설정 및 데이터
특히 이번 공격은 “국내 사용자 + 국내 환경”에 특화된 악성코드라는 지적이 나오고 있어, 만약 인증서나 금융 정보, 암호화폐 지갑을 활용하는 사용자라면 그 피해 범위가 매우 클 가능성이 있습니다.
다만, “모든 사용자에게 반드시 이 모든 정보가 탈취된다”는 의미가 아니라, “악성코드가 설치되고 탐지되지 않을 경우 이런 정보가 유출될 수 있다”는 가능성을 의미합니다.
4. 왜 지금 이 공격이 주목받는가 — 2025년 12월의 동향
이번 KimJongRAT 유포 사건이 주목받는 이유는 다음과 같습니다:
- 2025년 12월 초, 국내에서 실제 유포 정황이 확인된 첫 사례라는 점. 여러 언론사가 동시다발적으로 보도했고, 보안업계에서도 경고를 발령했습니다.
- 과거 KimJongRAT은 수년간 존재해 왔지만, 이번처럼 “국세청 고지서”라는 민감 문서를 미끼로 사용한 점, 그리고 ZIP → LNK → HTA 라는 다중 단계 방식을 활용한 점에서 그 의도와 정밀함이 한층 업그레이드되었다는 평가입니다.
- 또한 동일 공격자가 다른 유형(PE 파일, PowerShell 등)으로도 변종을 개발 및 유포 중이라는 보고가 최근 나왔다는 점. 이는 단회성 공격이 아니라 장기적인 위협의 일부일 가능성을 보여줍니다.
이 때문에 “지금 당장 누구나 표적이 될 수 있는 현실적 위협”으로 보안 전문가들 사이에서 경각심이 높아지고 있습니다.
5. 실용적이고 현실적인 예방 수칙 & 대응 방법
공신력 있는 보안 리포트 및 언론보도를 바탕으로, 지금 당장 개인이나 가정, 직장에서 실천할 수 있는 방법을 정리하면 다음과 같습니다:
5-1. Windows 및 운영체제, 주요 소프트웨어를 최신 버전으로 유지
- — 특히 Windows 보안 업데이트, 브라우저, 백신 소프트웨어를 주기적으로 업데이트해야 합니다. KimJongRAT은 오래된 시스템이나 보안 설정이 약한 환경을 노리는 경우가 많습니다.
5-2. 파일 탐색기 설정에서 ‘확장자명 보기’을 활성화
- — .zip, .lnk, .hta 등 진짜 확장자를 확인해 “PDF”로 위장된 바로가기(.lnk)를 식별할 수 있어야 합니다.
5-3. 출처가 불분명한 이메일의 첨부파일은 절대 실행하지 않기
- — 특히 “세금 고지서”, “납부 요청”, “체납 안내” 등 민감한 제목이라도, 발신자 주소, 도메인, 서명(공식 여부)을 반드시 확인하고, 의심스러운 경우 삭제하세요.
5-4. HTA 실행 제한 또는 mshta.exe 실행 권한 제어
- — 조직이나 개인 PC에서 HTA 파일 실행을 제한하거나, mshta.exe 권한을 최소화/차단해 악성 HTA가 실행되지 않도록 설정하는 것이 좋습니다.
5-5. 보안 솔루션(백신, 안티맬웨어) 설치 + 실시간 감시 활성화
- — KimJongRAT은 Google Drive URL 등을 이용해 탐지를 우회하려는 시도가 있었으므로, 최신 백신 + 실시간 감시 + 정기 검사가 중요합니다.
5-6. 민감 정보(인증서, 암호화폐 지갑, 메신저 등)는 별도 백업 또는 오프라인 보관 + 2단계 인증 사용
- — 만약 탈취가 되더라도 피해를 줄일 수 있도록, 인증서를 따로 보관하거나 오프라인 저장소를 이용하고, 가능한 경우 다중 인증(MFA)을 설정합니다.
5-7. 조직이라면 보안 교육 및 내부 정책 점검
- — 회사나 단체일 경우, 모든 직원이 의심 메일 열지 않도록 주의하고, 보안 정책으로 HTA 실행 제한, 자동 업데이트 설정, 백신 설치 등을 의무화해야 합니다.
6. 자주 묻는 질문 (FAQ)
Q1. 받은 메일이 정말 공식 기관(예: 세무서, 국세청)에서 보낸 건지 어떻게 확인하나요?
A: 공식 기관은 일반적으로 ZIP + 바로가기(.lnk) 파일 대신 PDF 또는 전자문서 형태로 고지서를 보냅니다. 또한, 발신 주소, 도메인, 본문 서명 등을 자세히 보고, 의심된다면 해당 기관 홈페이지나 콜센터를 통해 직접 확인하는 것이 안전합니다.
Q2. ZIP 파일을 열고 .lnk 파일만 봤는데 실행은 하지 않았습니다. 안전할까요?
A: 네. .lnk 파일을 실행하지 않았다면 악성코드는 동작하지 않았을 가능성이 높습니다. 다만 ZIP 파일을 연 것만으로는 자동 실행되지 않으며, 실행 전이라면 삭제하거나 격리하는 것이 바람직합니다.
Q3. 백신을 켜두고 있었는데도 감염될 수 있나요?
A: 가능성은 있습니다. 이번 KimJongRAT은 Google Drive URL을 이용해 페이로드를 전달하고, HTA 실행 방식 등으로 보안 탐지를 우회하려는 전략을 사용했습니다. 따라서 단순히 백신만으로는 부족하고, 운영체제 및 환경 설정, 사용자 습관을 함께 점검해야 합니다.
Q4. 인증서나 암호화폐 지갑 정보가 이미 탈취됐는지 어떻게 확인하나요?
A: 탈취 여부를 정확하게 확인하기는 어렵지만, 만약 이상 징후 (인증서 접근 시도, 암호화폐 지갑에서 출금/접근 이력 등)가 있다면 즉시 인증서 폐기 및 재발급, 암호화폐 지갑 비밀번호/복구 구문 변경, 2단계 인증 설정 등 비상 조치를 취하는 것이 좋습니다.
Q5. 회사나 조직 내부로 이런 피싱 메일이 왔다면 어떻게 대응해야 할까요?
A: 해당 메일을 절대 열거나 첨부파일을 실행하지 말고, 즉시 IT 보안 담당자에게 전달하세요. 동시에 조직 내부에 보안 경각심을 알리고, HTA 실행 차단, 자동 업데이트, 보안 솔루션 설치, 보안 교육 등을 진행하는 것이 바람직합니다.
7. 결론
2025년 12월 현재, “국세 고지서”로 위장한 피싱 메일을 통해 Kimsuky 연계 KimJongRAT 악성코드가 국내에 유포된 사실이 실제로 확인되었고, 보안 전문가들과 언론이 일제히 경고하고 있습니다.
이 위협은 과거보다 훨씬 정교하고, 일반 사용자조차 쉽게 속을 수 있는 구조를 가졌습니다. 다행히 우리가 지금 당장 실천할 수 있는 예방 수칙이 분명하며, 이 수칙들을 지키는 것만으로도 위험을 크게 줄일 수 있습니다.
윈도우 및 소프트웨어를 최신으로 유지하고, 파일 확장자 표시를 활성화하며, 출처 불분명한 메일은 절대 열지 않는 것 — 이 기본 원칙만 잘 지켜도, KimJongRAT와 같은 정교한 악성코드 공격으로부터 충분히 나를 지킬 수 있습니다.
여러분과 여러분의 소중한 정보, 그리고 가족과 조직을 지키기 위해, 지금 바로 보안 점검을 해보시길 권합니다.
