국세 고지서 사칭 메일의 특징과 최신 해킹 수법
국세 고지서 사칭 메일은 정부기관인 국세청에서 발송한 것처럼 꾸며져 있어 일반 이용자가 쉽게 속을 수 있습니다. 최근에는 “tax_notice.zip” 같이 실제 고지서 파일명과 유사한 압축 파일을 첨부하여 배포하는 경우가 많아 주의가 필요합니다. 특히 북한 정찰총국 산하 해킹 조직 ‘김수키(Kimsuky)’가 개발한 악성코드 ‘KimJongRAT’가 국세 고지서로 위장한 피싱 메일을 통해 유포되고 있다는 점이 큰 경각심을 불러일으킵니다. 공격자는 사회공학 기법을 활용해 수신자가 압축 파일 내 PDF나 HTA 파일을 열도록 유도하는데, 이 과정에서 악성코드가 실행되어 PC가 감염됩니다.
정부기관은 정식으로 고지서를 이메일 첨부파일 형태로 보내지 않으며, 특히 압축 파일(zip)이나 실행 파일(hta, exe)은 공식적으로 발송하지 않습니다. 따라서 국세 고지서 사칭 메일은 이러한 점에서 반드시 의심해야 하며, 수신 즉시 삭제하거나 국세청 홈택스에서 직접 확인하는 절차가 꼭 필요합니다.
김수키 조직과 KimJongRAT 악성코드
김수키는 북한 정찰총국 산하 해킹 조직으로, 국세 고지서 사칭 해킹메일을 비롯해 다양한 공공기관 사칭 피싱 공격을 펼치고 있습니다. KimJongRAT는 이들이 사용하는 대표적인 악성코드로, 감염 시 사용자의 PC를 원격 조종해 중요한 정보 탈취, 금융정보 유출, 추가 악성코드 설치 등의 치명적 피해를 일으킵니다. 이 악성코드는 국세 고지서 사칭 메일에 첨부된 zip 압축 파일 내에 숨겨져 있으며, 압축 해제 후 실행 파일을 열면 감염이 시작됩니다. 따라서 첨부 파일 실행 전 반드시 출처와 파일명을 꼼꼼히 확인해야 합니다.
사회공학적 공격 기법과 피싱 메일 특징
사칭 메일은 실제 국세청에서 보내는 고지서처럼 제목과 내용이 정교하게 구성되며, ‘세금 납부 안내’, ‘수정 신고 요청’, ‘전자세금계산서 발급’ 등으로 위장합니다. 수신자의 불안감을 자극해 빠르게 파일을 열도록 유도하는 것이 특징입니다. 또한, 발신자가 국세청 공식 도메인을 모방하거나 유사한 이메일 주소를 사용하여 신뢰도를 높입니다. 이런 메일은 특히 연말정산, 종합소득세 신고 기간과 같은 시기에 집중적으로 유포되니, 시기적 특성을 고려한 경계가 필요합니다.
국세 고지서 사칭 메일 확인 및 대응 방법
국세 고지서 사칭 메일을 받았을 때는 절대 첨부 파일을 열거나 링크를 클릭해서는 안 되며, 아래의 체크리스트를 통해 안전하게 확인하는 절차가 필수입니다. 국세청은 공식적으로 이메일을 통해 고지서를 발송하지 않으며, 모든 고지 내역은 국세청 ‘홈택스’ 사이트에서 직접 조회할 수 있습니다. 따라서 의심스러운 메일은 무시하고 홈택스 접속을 통해 확인하는 것이 안전합니다.
안전한 확인 절차 체크리스트
- 국세청에서 받은 메일인지 발신자 이메일 주소와 도메인 확인
- 첨부 파일명과 확장자(zip, hta, exe 등)을 꼼꼼히 확인
- 메일 내용에 낯선 URL이나 의심스러운 링크 포함 여부 점검
- 홈택스(www.hometax.go.kr) 직접 접속 후 ‘나의 알림’ 또는 ‘고지서 조회’ 메뉴에서 확인
- 의심스러운 경우 국세청 고객센터(국번 없이 126)로 문의
- 안전이 확인되기 전까지 메일 삭제 또는 포털 신고를 통해 처리
국세청 공식 고지서 확인 방법
국세청 고지서는 홈택스 웹사이트 및 모바일 앱에서 언제든지 직접 확인할 수 있습니다. 로그인 후 ‘고지서 조회’ 메뉴에서 납부할 세금 내역과 고지서 파일을 안전하게 확인할 수 있으므로, 의심스러운 이메일이나 문자 메시지는 무시하는 것이 좋습니다. 또한, 국세청은 세금 납부와 관련된 중요한 공지사항이나 체납 안내를 문자 대신 우편으로 발송하는 경우가 많으므로, 갑작스러운 이메일이나 문자에 지나치게 반응하지 않아야 합니다.
국세 고지서 사칭 메일 관련 최신 사례와 피해 예방
최근 2025년 12월 기준으로 국세청은 국세 고지서를 사칭한 해킹메일이 지속적으로 유포되고 있다는 경고를 공식 발표했습니다. 특히 ‘tax_notice.zip’과 같은 이름으로 배포되는 압축 파일과 함께 KimJongRAT 악성코드가 포함되어 있어 각별한 주의가 필요합니다. 피해 사례를 보면, 악성코드 실행 후 개인정보가 유출되고, 금융 계좌가 해킹되는 등 심각한 피해가 발생했습니다. 이에 따라 국세청과 보안 전문가들은 메일 수신 시 무조건 첨부파일을 열지 말고, 반드시 홈택스에서 직접 고지서를 확인하도록 권고하고 있습니다.
이와 함께 경찰청과 국민비서 등 여러 공공기관에서도 국세청을 사칭하는 피싱 메일이 증가하고 있음을 알리고 있으며, 피해 예방을 위한 교육도 활발히 진행 중입니다. 특히 영세사업자나 중소기업들은 세무조사, 전자세금계산서 사칭 메일 등을 주의해야 하며, 국세청에서 공식적으로 연락하는 경우가 아니면 무조건 의심하는 습관을 들이는 것이 중요합니다.
피해 예방을 위한 보안 수칙
- 항상 최신 백신 프로그램과 운영체제 업데이트 유지
- 의심스러운 메일은 무조건 삭제하고, 첨부파일 열람 금지
- 공식 홈페이지(홈택스)에서만 세금 고지서 및 납부 내역 확인
- 전자세금계산서 발급 확인 시에도 홈택스 내 전자문서함 이용
- 모르는 발신자나 불분명한 이메일은 신뢰하지 말 것
- 국세청 및 공공기관은 세금과 관련해 전화를 통해 상세 안내하지 않음 인지
자주 묻는 질문
국세 고지서 사칭 메일을 받았을 때 가장 먼저 해야 할 일은 무엇인가요?
가장 먼저 해야 할 일은 메일에 첨부된 파일이나 링크를 절대 클릭하지 않는 것입니다. 그리고 메일의 발신자 주소를 확인하고 의심스러우면 즉시 삭제하는 것이 중요합니다. 이후 홈택스(www.hometax.go.kr)에 직접 접속해 고지서 내역을 확인해 진위 여부를 판단해야 하며, 필요시 국세청 고객센터에 문의해 도움을 받는 것이 안전합니다.
국세청은 이메일로 고지서를 발송하나요?
국세청은 공식적으로 이메일을 통해 세금 고지서를 발송하지 않습니다. 모든 고지서는 홈택스 홈페이지나 모바일 앱에서 직접 확인할 수 있으며, 중요한 세금 안내는 보통 우편 또는 문자로 발송됩니다. 따라서 이메일로 받는 국세 고지서 사칭 메일은 반드시 의심하고, 첨부파일 실행을 삼가야 합니다.