Trace Id is missing

세금 신고 기간과 사이버 보안: 사이버 범죄자의 목표와 가장 선호하는 표적. 귀하는 아닐까요?

공유
세금 문서가 있는 노트북 화면과 이름이 '세금'인 폴더로 이동하는 종이 문서를 보여주는 그래픽 그림

죽음, 세금과 더불어 오늘날의 위협 환경에서는 피싱 공격도 피할 수 없는 것이 되었습니다. 금전적 동기를 가진 위협 행위자는 수백만 명의 개인과 기업이 양식과 문서를 활발하게 교환하고 마감일 압박 등의 스트레스를 받으며 주의가 산만해지는 세금 신고 기간의 매력적인 기회를 틈타 이들의 고위험 데이터를 표적으로 삼아 피싱 캠페인을 배포합니다.

누구나 세금 신고 기간에 피싱의 대상이 될 수 있지만 특정 집단은 다른 집단보다 더 취약합니다. 주요 대상에는 국세청의 운영 방식을 잘 모르는 개인 영주권 소지자, 중소기업 소유자, 25세 미만의 신규 납세자, 60세 이상의 노인 납세자 등이 포함됩니다.

이 특별 세금 신고 기간 위협 인텔리전스 보고서는 다음과 같은 섹션에서 위협 행위자가 가장 많이 사용하는 전술, 기술, 절차(TTP)를 살펴봅니다.

  • Microsoft 위협 인텔리전스, 2024년 세금 신고 기간 피싱 캠페인 적발에서는 고용주 제공 세금 관련 문서로 가장한 미끼를 사용하는 새로운 세금 시즌 피싱 기술에 대한 세부 내용을 설명합니다.
  • 피싱 이메일에서 납세 처리자를 사칭하는 위협 행위자에서는 Microsoft 위협 인텔리전스가 제3자 연방 세금 납부 처리자 로고를 사용하는 위협 행위자를 목격한 사례를 설명합니다.
  • 세금 신고 기간 사이버 범죄자의 목표에서는 세금 신고 기간에 주요 표적이 되는 다양한 유형의 고위험 데이터를 파악합니다.
  • 사이버 범죄자가 데이터를 얻는 방법에서는 세금 신고 기간 위협 행위자가 가장 많이 사용하는 소셜 엔지니어링 기술을 설명합니다.
  • 세금 신고 기간 사이버 보안 모범 사례에서는 소셜 엔지니어링 공격을 경계하기 위한 모범 사례와 실행 가능한 조언을 제공합니다.

Microsoft 위협 인텔리전스는 2024년 1월 말 고용주 제공 세금 관련 문서로 가장한 미끼를 사용하는 캠페인을 비롯하여 세금 신고 기간 피싱 활동을 이미 목격했습니다.

다음 그림은 이 캠페인에서 발견한 (1)피싱 이메일 미끼, (2)악성 웹사이트, (3)두 가지 악성 실행 파일(맬웨어)을 보여줍니다.

2024년 1월 Microsoft 위협 인텔리전스에서 관찰한 세금 시즌의 피싱 이메일.
그림 1: 사용자를 가짜 랜딩 페이지로 안내하는 HTML 첨부 파일이 포함된 피싱 이메일
악성 웹 사이트의 스크린샷
그림 2: 사용자들이 위협 행위자가 클릭을 유도하기 위해 소셜 엔지니어링 기술을 통해 의도적으로 흐리게 만든 웹 페이지로 이동되었습니다. 대상이 "문서 다운로드" 프롬프트를 클릭하면 맬웨어가 컴퓨터에 설치됩니다.
"programs" 폴더 "deepvau에 있는 두 개의 파일을 보여주는 Windows 파일 탐색기의 스크린 샷", 애플리케이션
그림 3: 정보 탈취 기능이 있는 악성 실행 파일이 대상의 컴퓨터에 심어졌습니다. 이 악성 파일은 일단 환경에 들어가면 로그인 자격 증명을 포함한 정보를 수집하려고 시도합니다.

공식 기관을 사칭하는 위협 행위자

Microsoft는 또 다른 캠페인에서 위협 행위자가 대상을 속이기 위해 합법적인 제3자 연방 세금 납부 처리자 웹 사이트에서 이미지를 가져와 피싱 이메일에 사용하는 것을 목격했습니다.

이러한 이메일은 합법적인 것처럼 보이지만, 납세자는 국세청과 같은 공식 기관이 이메일, 문자 또는 전화 통화를 통해 세금 신고 또는 세금 납부에 관하여 먼저 연락하지 않는다는 사실을 알아야 합니다.

드문 경우 사이버 범죄자는 훔친 정보를 이용하여 세금 환급 사기를 저지를 수 있습니다. 이 특정 사기에서는 범죄자가 대상의 이름으로 세금 신고서를 제출하고 환급을 청구합니다.1 하지만 이 접근 방식은 국세청 보호 조치를 고려할 때 성공 가능성이 낮습니다. 더 흔하게는 사이버 범죄자가 세금 신고 기간에 대상의 정보에 접근한 다음, 연중 언제든지 할 수 있는 일, 즉 해당 정보를 이용하여 수익을 창출하는 방법을 찾으려는 가능성이 가장 높습니다. 대상의 이름으로 신용 카드를 개설하거나, 다른 사이버 범죄자에게 데이터나 액세스 권한을 판매하거나, 대상의 은행 계좌에 직접 액세스하여 자금 이체나 온라인 쇼핑을 하는 행위가 포함될 수 있습니다.

아래에는 (1)피싱 이메일 미끼와 (2)인증된 제3자 프로세서 사이트에 대한 수치가 나와 있습니다.

신뢰할 수 있는 제3자 납부 처리업체 웹사이트에서 가져온 공인 IRS 헤더 이미지가 포함된 피싱 이메일.
그림 4: IRS 웹사이트에 등록된 결제 처리업체인 ACI Payments Inc.에서 가져온 헤더 이미지(Authorized IRS)를 사용하는 피싱 이메일.
ACI Payments, Inc의 실제 웹 사이트에서 가져온 Authorized IRS 헤더 이미지를 사용하는 웹 페이지의 스크린샷
이미지 5: ACI Payments, Inc.의 실제 웹 사이트에서 진짜 "Authorized IRS" 이미지가 어떻게 표시되는지 보여주는 예입니다.

세금 신고 기간 사이버 범죄자의 목표

세금 신고 기간에는 개인과 국세청 등의 조직 간에는 물론, 세금 신고 소프트웨어나 납세 준비 브랜드, 현지 회계 및 세무 회사와 같은 다양한 세무 서비스 제공업체와 자영업자 사이에서 막대한 양의 중요한 재무 데이터와 ID 데이터가 오갑니다.

가장 위험한 몇몇 데이터2에는 다음이 포함됩니다.

  • ID: 사회 보장 번호, 운전면허증 또는 주 ID, 여권 세부정보, 사업자 등록 번호(EIN), 중앙 인증 파일(CAF) 번호
  • 금융 계좌: 금융계좌번호, 신용카드 및 직불카드 번호(보안 코드 포함 또는 비포함)
  • 암호 및 액세스 권한: 이메일 비밀번호, 개인 식별 번호(PIN), 액세스 코드

Microsoft 위협 인텔리전스 사이버 범죄 전문가 Wes Drone 씨는 일반인의 개인 이메일의 받은 편지함에 있는 대량의 개인 정보에 내포된 일반적인 위험에 대해 "사람들은 이메일의 받은 편지함에 쌓이는 정보를 그대로 내버려둘 수 있고, 이렇게 보관된 정보는 범죄자들에게 엄청난 가치가 있다"고 설명합니다.

이 위험은 세금 신고 기간에만 국한되지 않습니다. Drone 씨는 일반 개인의 이메일 계정에는 개인 생활의 거의 모든 측면에 대한 서신과 문서가 포함되어 있으며 세금 신고 기간은 이를 훔칠 수 있는 수많은 기회 중 하나일 뿐이라고 지적합니다.

Drone 씨는 “무엇이 되었든 이메일에서 발견할 수 있을 것”이라며 “위협 행위자가 대상의 이메일 주소에 액세스하게 되면 다른 모든 계정의 비밀번호를 재설정할 수 있다"고 설명합니다.

개인에 대한 위험은 기업에도 위험이 될 수 있습니다. Drone 씨에 따르면 위협 행위자가 직원의 이메일 보관함에 액세스할 수 있으면 고용주의 환경에 악성 코드를 설치할 수 있습니다.

"이제 일어날 수 있는 모든 종류의 문제를 말할 수 있다"고 Drone 씨는 말합니다. 그는 “가장 큰 문제는 비즈니스 전자 메일 침해로 여기서 공격자는 대상이 거래하는 공급업체나 사업 관련자들에게 접촉하기 시작합니다. 그들은 청구서의 숫자를 바꾸고, 가짜 청구서를 보내고, 입금 계좌를 바꾸죠. 이러한 시도는 엄청난 손해를 일으킬 수 있습니다”라고 설명합니다.

사이버 범죄자가 데이터를 얻는 방법

사이버 범죄자가 사용하는 피싱 기술은 새로운 것은 아니지만 아직도 매우 효과적입니다. 세무 신고 기간 동안 개인을 대상으로 한 피싱 공격은 변형이 있다해도 주로 다음 두 가지 결과 중 하나로 이어집니다. 인포스틸러(트로이 목마 악성 코드의 일종)를 다운로드하는 것과 사용자가 스푸핑된 방문 페이지에 자격 증명을 입력하는 것입니다. 덜 일반적으로는 피싱 공격자가 랜섬웨어를 다운로드하기 위해 액세스 권한을 모색하는 경우도 있습니다.

공격자는 세금 신고 기간의 피싱 캠페인에서 고용주, 인사과, 국세청(IRS), 정부 과세 관련 기관, 회계사 및 세무사와 같은 세금 관련 서비스 제공업체 등의 합법적인 조직의 대리자를 사칭하여 사용자를 속입니다(신뢰할 수 있는 대현 브랜드와 로고를 자주 사용).

사이버 범죄자가 대상을 속이는 데 사용하는 일반적인 전술에는 실제 서비스나 웹사이트의 랜딩 페이지 스푸핑, 진짜처럼 보이는 가짜 URL(동형 문자 도메인) 사용, 각 사용자에 맞추어 피싱 링크를 개인 설정 등이 있습니다.

Drone 씨는 "이러한 세금 신고 기간 피싱 캠페인이 수년간 계속해서 효과가 있는 이유는 누구도 국세청으로부터 연락을 받고 싶어하지 않기 때문"이라고 설명합니다. Drone은 받은 편지함에 세금 관련 메시지가 도달하자마자 불안감을 유발할 수 있다고 말합니다.

그는 이어서 “분명히 사람들은 환급금을 놓치거나 환급금을 도난당하기를 원하지 않는다”며 “범죄자들은 이러한 두려움과 감정을 소셜 엔지니어링에 활용하여 불안을 유발해 대상이 서둘러 클릭하여 필요한 작업을 수행하도록 만든다”고 설명합니다.

위협 행위자는 다양한 조직을 대상으로 다양한 미끼를 사용하지만 피싱 이메일에는 공통되는 몇 가지 특징이 있습니다.

  • 항목 A – 브랜딩: 방어 태세를 늦추도록 설계된 특징입니다. 범죄자는 국세청이나 세무 회사 및 서비스와 같이 연중 이맘때쯤에 보일 만한 브랜드를 사용합니다.
  • 항목 B – 감정적 내용: 가장 효과적인 피싱 미끼는 감정이 고조되는 메시지입니다. 세금 신고 기간에 범죄자들은 희망(예상치 못한 큰 액수의 환급금)과 두려움(환급금 지급 보류 또는 막대한 벌금 부과)을 이용합니다.
  • 항목 C – 긴급성: 사이버범죄자는 종종 긴급함을 이용하여 사람들이 평소라면 하지 않을 행동을 하게 만듭니다. 긴급한 상황에서 기한 전에 조치를 취하지 않으면 원하는 일이 일어나지 않거나 원치 않는 일이 일어날 것입니다.
  • 항목 D – 클릭 유도: 범죄자는 궁극적으로 사용자가 받은 편지함에서 링크, 버튼, QR 코드 등을 통해 악의적인 웹사이트를 클릭하기를 원합니다.
문서에서 설명하려는 이미지의 측면을 나타내는 아이콘과 함께 피싱 이메일의 예를 보여주는 노트북 화면.
그림 6: 피싱 이메일 미끼의 몇 가지 특징을 강조하는 글자로 된 콜아웃.

세금 신고 기간에는 물론 연중 내내 사이버 범죄를 막는 최선의 방어책은 교육과 철저한 사이버 예방 조치입니다. 교육은 피싱에 대한 인지로, 피싱 시도는 어떤 형태이며 이러한 시도에 직면했을 때 어떤 조치를 취해야 하는지 알아두는 것입니다. 올바른 사이버 예방 조치는 금융 계정 및 이메일 계정에 다단계 인증과 같은 기본 보안 조치를 구현하는 것입니다.

4월 15일 미국 세금의 날을 앞두고 사용자와 방어자가 세금을 둘러싼 위협을 경계하는 데 도움이 될 수 있는 다음 추가 권장 사항을 소개합니다.

피싱으로부터 보호하는 7가지 방법

피싱 사기를 당하면 기밀 정보 유출, 네트워크 감염, 금전 요구, 데이터 손상 또는 더 나쁜 상황 이 발생할 수 있습니다. 이를 방지하는 방법은 다음과 같습니다.3
  • 보낸 사람의 이메일 주소를 검사하세요. 모든 것이 정상인가요? 잘못된 문자 위치나 이상한 철자는 가짜라는 것을 나타낼 수 있습니다.
  • 일반적인 인사말(예: "고객님께")로 시작하면서 긴급 행동을 요청하는 이메일을 조심하세요.
  • 확인 가능한 발신자 연락처 정보를 찾으세요. 의심스러운 경우 회신하지 마세요. 응답하려면 회신 대신 새로 이메일을 시작하세요.
  • 중요한 정보를 이메일로 보내지 마세요. 개인정보를 전달해야 하는 경우 전화를 사용하세요.
  • 예상치 못한 링크를 클릭할 때, 특히 계정에 로그인하도록 이끄는 경우 다시 한번 생각하세요. 그 대신 안전하게 공식 웹사이트에서 로그인하세요.
  • 누군지 알 수 없는 발신자나 평소 첨부 파일을 보내지 않는 친구가 보낸 이메일의 첨부 파일은 열지 마세요.
  • 이메일 앱에 피싱 필터를 설치하고 이메일 계정에서 스팸 필터를 활성화하세요.

MFA(다단계 인증) 사용

귀하 계정에 대한 공격이 성공할 가능성을 줄이고 싶으세요? MFA를 사용하세요. 다단계 인증은 이름에서 알 수 있듯 두 단계 이상의 인증을 요구합니다.

MFA를 활성화하면 공격자가 사용자 이름과 암호를 알아내더라도 여전히 계정과 개인 정보에 접근할 수 없습니다. 둘 이상의 인증 단계가 있는 경우 공격자가 한 가지 암호를 알아도(또는 크랙으로) 시스템에 액세스할 수 없기 때문에 침투하기가 매우 어려워집니다. MFA를 활성화하면 계정에 대한 공격을 99.9% 예방할 수 있습니다.4

관련 기사

기본적인 사이버 예방 조치로 공격의 99% 예방

기본적인 사이버 예방 조치는 전체 사이버 위협의 98%로부터 조직의 ID, 디바이스, 데이터, 앱, 인프라, 네트워크를 보호하는 가장 좋은 방법입니다. 종합 가이드에서 실용적인 팁을 살펴보세요.
자세한 정보

비즈니스 전자 메일 침해 분석

디지털 범죄 전문가 Matt Lundy 씨가 비즈니스 전자 메일 침해 사례를 제시하며, 가장 일반적이고 가장 큰 손해를 초래하는 것으로 손꼽히는 이 사이버 공격 형태를 분석합니다.
자세한 정보

신뢰 경제를 이용한 소셜 엔지니어링 사기

신뢰가 곧 돈이며 취약점이기도 한 진화하는 디지털 환경을 살펴보세요. 사이버 공격자가 가장 많이 사용하는 소셜 엔지니어링 사기 기법을 알아보고, 인간의 본성을 이용하도록 고안된 소셜 엔지니어링 위협을 식별하고 저지하는 데 도움이 되는 전략을 확인하세요.
자세한 정보

Microsoft Security 팔로우