카스퍼스키, 세금통지 위장 APT ‘실버폭스’ 탐지

기사입력 2026.06.23 09:17

인도·인도네시아 등 4개국 기업 표적, 1~2월 악성 이메일 1,600건 이상 확인

카스퍼스키가 세무 당국의 세금 위반 통지로 위장해 악성 파일을 유포하는 APT 공격 ‘실버폭스(SilverFox)’를 탐지했다. 감염이 발생하면 공격자는 해당 기기의 원격 접근 권한을 확보하고 조직의 민감 데이터를 외부로 유출할 수 있는 것으로 전해진다.

카스퍼스키는 23일 글로벌 연구 분석팀(GReAT)이 2025년 12월 이후 관찰된 SilverFox 해커 그룹의 신규 공격 캠페인을 여러 차례 분석했다고 밝혔다.

이 캠페인은 인도·인도네시아·남아프리카공화국·러시아의 △산업 △컨설팅 △무역 △운송 분야 기업을 대상으로 수행됐다.

피싱 이메일은 공식 세무 감사 통지로 위장하거나 ‘세금 위반 목록’이 담긴 압축 파일을 내려받도록 유도하는 방식으로 제작됐다.

공격자는 세무 당국의 권위와 긴급성을 악용해 파일 다운로드와 공격 체인 실행을 유도했으며, 1월부터 2월 사이에만 1,600건 이상의 악성 이메일이 탐지됐다.

위협 행위자는 기존 공격에 쓰인 ValleyRAT 백도어를 통해 Python 기반 백도어 ‘ABCDoor’를 배포하며 도구 세트를 확장했다.

ABCDoor는 2024년 말부터 공격 도구군에 포함돼 2025년 전반에 걸쳐 사용됐다.

이 백도어는 △파일 업로드·다운로드 △다수 피해자 화면의 실시간 스트리밍 △클립보드 접근 등 감염 시스템 원격 제어 기능과 자체 업데이트 기능을 갖춘 것으로 전해진다.

또한 이전에 공개되지 않은 수정형 RustSL 변종이 2025년 12월 말 처음 도입돼 ValleyRAT 전달에 사용됐다.

GReAT의 안톤 카르긴 선임 보안 연구원은 “이번 캠페인에서 사회공학이 핵심 역할을 했으며, 공격자는 세무 당국 같은 공식 기관에 대한 사용자 신뢰를 악용했다”라며 “다단계 전달 방식과 다수의 이메일 주소·도메인을 활용해 탐지와 차단 가능성을 낮췄다”라고 말했다.

이효은 카스퍼스키코리아 지사장은 “한국은 전자정부·세무 시스템 의존도가 높아 세무 당국 사칭 피싱이 효과적으로 작동할 수 있는 환경”이라며 “SilverFox가 인도·인도네시아에서 쓴 전술은 국내에서도 쉽게 재현될 수 있어 임직원 보안 인식 교육과 엔드포인트 탐지 및 대응(EDR) 역량을 함께 강화해야 한다”라고 말했다.

#피싱 #카스퍼스키 #APT 공격 #ValleyRAT #ABCDoor #사회공학 #실버폭스 #세금 위반 #악성 이메일 #전자정부

명세환 기자daniel@e4ds.com

기사 전체보기

댓글
Facebook

관련뉴스

카스퍼스키, SOC 통합 관리와 AI 분석 기능 묶은 ‘넥스트’ 개편판 공개

기업들이 보안관제센터(SOC) 구축과 운영에서 통합 관리와 자동화 수요를 키우는 가운데, 카스퍼스키가 자사 B2B 보안 제품군 ‘카스퍼스키 넥스트’의 개편 내용을 공개했다. 이번 업데이트는 OSMP 기반 단일 콘솔로 EPP·EDR·XDR·SIEM 연계를 넓히고, DLL 하이재킹 탐지와 계정 탈취 의심 행위 식별 같은 AI 기능, 생성형 AI 보조도구 KIRA 연동을 담았다. 회사는 대규모 배포 환경에서 EDR Expert는 최대 30%, XDR Expert는 최대 60%까지 자원 요구량을 낮출 수 있다고 밝혔다.

2026-03-25 오전 11:52:25by 배종인 기자
카스퍼스키, 2025년 글로벌 독립 보안평가서 최다 1위

카스퍼스키가 2025년 한 해 글로벌 독립 보안 테스트와 리뷰 100건에 참여해 90건에서 1위를 기록했다고 1일 밝혔다. 기업용 EDR, 엔드포인트 보안, 중소기업용 보안, 개인용 보안 제품군 전반에서 인증과 수상이 이어졌으며, 장기 누적 기준으로도 2013년부터 2025년까지 1122건의 평가 중 861건에서 1위를 차지했다고 설명했다. 이번 결과는 보안 제품 평가 기준이 탐지율뿐 아니라 오탐률, 사용성, 고급 위협 대응 역량까지 확대되고 있음을 보여준다.

2026-04-01 오전 9:29:01by 배종인 기자
카스퍼스키 “지난해 한국서 웹 공격 650만건·로컬 위협 919만건 탐지”

카스퍼스키가 2025년 한국 관련 보안 위협 보고서를 공개하고, 지난해 국내에서 웹 기반 공격 650만여 건, 로컬 위협 919만여 건을 탐지했다고 밝혔다. 웹 공격은 브라우저 취약점 악용과 사회공학 기법을 중심으로 이뤄졌고, 로컬 위협은 USB 등 이동식 매체를 통해 오프라인 환경까지 확산할 수 있는 것으로 분석됐다. 회사 측은 파일리스 악성코드, 코드 난독화 등 탐지 회피 수법이 늘고 있다며 단일 백신을 넘어 행위 기반 탐지, 방화벽, 장치 제어를 포함한 다층 보안 체계가 필요하다고 설명했다.

2026-04-06 오후 2:32:30by 명세환 기자
카스퍼스키, 북한발 가상자산 탈취 캠페인 경고

북한 연계 해킹조직으로 지목돼 온 블루노로프가 가상자산 탈취 수법을 한층 정교하게 진화시킨 것으로 나타났다. 단순히 암호화폐 지갑만 노리는 수준을 넘어, 화상회의와 채용 절차, 클라우드 계정, 메신저, 브라우저 자격증명까지 한꺼번에 장악하는 방식으로 공격 범위를 넓히고 있다는 분석이다. 글로벌 보안업체 카스퍼스키는 16일 이 같은 내용을 담은 심층 보고서를 공개하며 Web3·블록체인 업계 종사자들의 각별한 주의를 당부했다.

2026-04-16 오전 11:51:47by 배종인 기자
카스퍼스키, 앱스토어·구글플레이 우회한 ‘스파크캣’ 변종 확인

카스퍼스키는 공식 앱스토어를 통해 유포된 암호화폐 탈취 악성코드 ‘스파크캣’의 새로운 변종을 확인했다고 밝혔다. 해당 악성코드는 정상 애플리케이션으로 위장해 사용자 기기의 사진 갤러리에 접근한 뒤, OCR 기술을 활용해 이미지 속 텍스트를 분석하고 지갑 복구 문구를 탐색한다. 안드로이드는 아시아 언어 기반, iOS는 영어 기반 키워드를 중심으로 탐색 범위를 넓힌 것이 특징이다. 일부 감염 앱은 이미 삭제됐지만, 제3자 유통 경로에서도 확산이 확인됐다. 전문가들은 난독화와 코드 가상화 등 고도화된 기술이 적용되면서 공식 스토어 심사를 우회하는 사례가 증가하고 있다고 분석했다.

2026-04-27 오전 10:25:51by 배종인 기자
카스퍼스키, 리눅스 커널 취약점 ‘Copy Fail’ 보고서 발표

카스퍼스키는 리눅스 커널 취약점 ‘Copy Fail’을 공개하며, 파일 변경 없이 메모리 캐시 조작만으로 루트 권한 탈취가 가능하다고 밝혔다. 해당 취약점은 정상 시스템 호출을 활용해 동작하기 때문에 기존 엔드포인트 보안 솔루션으로 탐지하기 어렵다. 커널 업데이트가 근본적인 대응 방안이지만, 현실적으로 즉각 적용이 어려운 환경에서는 EDR과 SIEM 기반의 행위 분석을 통한 권한 상승 이상 징후 모니터링이 필요하다.

2026-05-07 오전 10:48:49by 배종인 기자
카스퍼스키, DCO 합류…사이버보안 기업 첫 참여

카스퍼스키가 디지털협력기구(DCO)에 옵저버로 합류했다. DCO에 참여한 첫 사이버보안 기업으로, 회원국과 조직을 대상으로 사이버 위협 대응 경험과 역량 강화 프로그램을 공유할 계획이다. 이번 참여는 디지털 경제 논의가 기술 접근성 확대를 넘어 보안과 회복력 확보로 확장되고 있음을 보여준다.

2026-05-28 오전 10:15:23by 명세환 기자