PDF 위장 악성파일, 클릭 한 번으로 내 공인인증서·지갑까지 탈취될 수 있습니다
2025년 12월 들어 “국세 고지서”라는 제목의 이메일이 대량 유포되고 있습니다. 겉보기엔 평범한 국세청 안내문처럼 보이지만, 사실은 북한 정찰총국 산하 김수키(Kimsuky) 해킹조직의 최신 악성코드 KimJongRAT이 심어진 트랩이었죠.
해당 파일을 열기만 해도 시스템 정보부터 암호화폐 지갑, 공인인증서까지 몽땅 탈취당할 수 있다는 사실, 알고 계셨나요? 이스트시큐리티 보고서에 따르면 2025년 11월까지 이 악성코드로 인한 피해는 1,200억 원에 달하며, 지금도 확산 중입니다.
국세 고지서로 위장한 KimJongRAT, 어떤 식으로 감염될까?
이 악성코드는 단순히 “zip 파일”을 열었다고 끝나는 것이 아닙니다. 사용자가 ‘PDF’로 오해할 수 있는 LNK 바로가기 파일을 클릭하면 감염이 시작돼요.
악성코드 감염 흐름 요약
- 이메일로 ‘tax_notice.zip’ 파일 수신
- 압축 해제 후 ‘국세고지서.pdf’처럼 보이는 LNK 파일 클릭
- 자동으로 악성 URL 접속 후 HTA 스크립트 다운로드
- 시스템에 KimJongRAT 원격 접속 트로이목마 설치
- 이후 백그라운드에서 다음 정보들을 실시간 탈취
- CPU, 메모리 등 시스템 사양
- 브라우저 저장 로그인 정보
- 암호화폐 지갑 주소
- 공인·공무원 인증서 (NPKI/GPKI)
- 디스코드·텔레그램 계정
특히 Windows 10 이하 버전 사용자는 보안 취약점으로 인해 감염률이 무려 90% 이상으로 추정되고 있습니다.
실제 피해 규모, 얼마나 심각할까?
피싱 메일과 악성코드 유포는 매년 증가하고 있으며, 2025년 11월까지 3,200만 건의 악성 이메일이 유통되었습니다.
특히 KimJongRAT은 2024년까지는 테스트 단계였지만, 2025년부터는 본격적으로 공격에 사용되면서 피해액이 급증했어요.
| 연도 | 피싱 메일 건수 | 피해액(억 원) | 주요 악성코드 |
|---|---|---|---|
| 2023년 | 1,500만 건 | 800억 원 | Lokibot |
| 2024년 | 2,500만 건 | 1,000억 원 | KimJongRAT 초기 버전 |
| 2025년 | 3,200만 건 | 1,200억 원 | KimJongRAT 정식 투입 |
이메일로 가장 많이 전파되고 있으며, 일부는 카카오톡·SNS를 통한 링크 공유 형태로도 유입되고 있습니다. 특히 기업 경영진이나 프리랜서 종사자를 주요 타깃으로 삼고 있어요.
국세청 사칭, 왜 이렇게 잘 속을까?
김수키 해킹조직은 심리를 교묘히 이용합니다.
예를 들어, “세금 체납”, “고지서 미납”, “국세청 통지서” 같은 단어는 평범한 사람에게도 긴장감을 줍니다.
그 틈을 노려서 국세청 로고와 서식을 거의 똑같이 만든 메일을 보내기 때문에, IT 지식이 없는 일반인은 쉽게 속을 수밖에 없죠.
게다가 국세청의 공식 이메일 주소인 @nts.go.kr이나 @hometax.go.kr 대신,
비슷한 도메인을 사용하거나 아예 가짜 주소를 쓰는 수법도 여전합니다.
김수키 해킹조직, 단순 악성코드가 아니다
김수키(Kimsuky)는 단순한 해커가 아닌 북한 정찰총국 직속 사이버 첩보조직입니다.
2024~2025년 사이 최소 **27건의 APT 공격(지능형 지속 공격)**을 감행했고, 그중 85%가 한국 타깃이었습니다.
APT는 단순 감염이 아니라, 침투 후 오랫동안 정보를 수집하고 빼내는 정밀 공격이죠.
2023년에는 ‘국세청 우편물 센터’를 사칭한 웹 비콘(LNK 파일)을 유포했고,
2025년엔 이 공격을 한층 고도화해, LNK + HTA 조합으로 본격 확산에 나선 상태입니다.
피해를 막으려면? 지금 바로 실천 가능한 5가지 방법
악성 메일은 우리가 생각하는 것보다 훨씬 교묘합니다.
하지만 몇 가지 기본 수칙만 지켜도 대부분의 공격은 방어할 수 있어요.
- 이메일 주소 확인:
@nts.go.kr,@hometax.go.kr이 아닌 경우 즉시 삭제 - 파일 확장자 표시 설정: Windows 탐색기 → 보기 → ‘파일 이름 확장명’ 체크
- 링크/첨부파일 절대 클릭 금지: 홈택스 주소는 직접 입력 (www.hometax.go.kr)
- 보안 프로그램 최신화: Windows 업데이트 + 백신 실시간 감시 필수
- 의심되면 바로 신고: 국세청 126 상담센터 또는 경찰청 사이버수사대
이 외에도 정품 소프트웨어 사용, 관리자 권한 최소화, 공인인증서 분리 보관 등도 권장됩니다.
정품 국세 고지서는 이렇게 옵니다
진짜 국세 고지서는 어떻게 오느냐고요?
절대 이메일 첨부파일로 오지 않습니다. 아래 두 가지 방식만을 통해 제공돼요.
- 우편 고지서 – 등기 또는 일반 등기로 자택 발송
- 전자 고지서 – 홈택스 내 고지·납부 메뉴에서 직접 확인 가능
따라서 “세금 고지서가 이메일로 도착했다”는 말 자체가 의심의 신호입니다.
특히 연말정산 시즌인 12월에는 피싱 메일이 40% 이상 증가하기 때문에 각별히 주의하세요.
클릭 한 번의 실수, 공인인증서도 내 지갑도 위험하다
요즘은 단순한 이메일 해킹만으로 끝나지 않습니다.
한 번 감염되면 공인인증서(NPKI, GPKI)부터 암호화폐 지갑, 메신저 계정까지 통째로 탈취당하는 구조예요.
게다가 원격조종 트로이목마(RAT) 형태라 사용자가 모르게 정보가 빠져나가기 때문에,
이상징후가 보일 땐 이미 늦은 경우가 많습니다.
이럴수록 중요한 건 사전 예방과 정보 인지력입니다.
지금 보고 있는 이메일이 정말 믿을 수 있는지, 단 한 번만 더 확인해보세요.
쿠팡 개인정보 유출 3,370만 명 피해, 지금 해야 할 대처법 7가지
#국세고지서해킹 #김수키해킹조직 #KimJongRAT #국세청사칭메일 #악성코드주의보 #피싱이메일경고