위협 개요 (Threat Summary)
2025년 10월 현재, 법원등기 안내를 사칭한 사회공학 기반 스캠(Scam) 공격이 국내에서 빈번하게 관찰되고 있습니다.
이번 공격은 기존 이메일, 메신저, SNS 등 디지털 미디어를 통한 피싱 유포 방식이 아닌, 음성 통화 기반의 사용자 응답 유도형 공격(Social Engineering) 이라는 점에서 특징적입니다.
공격 시나리오 (Attack Flow)
공격자는 수신자에게 전화를 걸어 다음과 같은 절차로 스캠을 수행합니다.
- 공격자는 “법원등기 발송 예정인데 직접 수령 가능하신가요?” 라는 문장으로 접근
- 사용자가 “현재는 수령이 어렵다” 고 응답하면,
- 공격자는 “그럼 확인을 위해 아래 한글 도메인에 접속하라”는 음성 또는 SMS 문자 안내를 제공
- 피해자가 해당 한글 도메인에 접속하면,
- 피싱 페이지 또는 악성 리디렉션 스크립트를 통해 개인정보 탈취 또는 추가 악성코드 감염이 유도됨
공격 특징 (Tactics & Techniques)
| 구분 | 내용 |
|---|---|
| 공격 수단 | 전화(Voice Call) 기반 사회공학 기법 |
| 피싱 유도 경로 | 한글 도메인 URL을 통한 악성 사이트 접속 |
| 공격 목적 | 개인정보 수집 및 추가 감염 유도 |
| 특징 | - “직접 등기 수령 가능 여부”를 통해 신뢰 형성 - 한글 도메인 사용으로 시각적 위장 - 전통적 디지털 피싱(메일/메신저) 형태와 구분됨 |
공격자가 공격에 사용한 전화번호는 아래와 같으며, 한국의 사법기관에서 요청할 경우, 아래 번호 전체는 공개될 예정입니다.
• 010-22xx-45xx, 010-51xx-23xx
“법원등기 안내”라는 신뢰도 높은 키워드를 악용하여, 사용자가 직접 도메인에 접속하도록 유도하는 비디지털형 피싱(Voice-Driven Phishing) 유형인데, 아래와 같은 한글 도메인에 대한 접근을 요청하게 됩니다.
(http://법원등기간편검색.kr/220site2025/4spo10/main23.do)
해당 페이지에 접근할 경우, 정교하게 작성된 검찰청 사칭 페이지에 접근하게 되며, 이후 접근에 사용되는 인증 관련 크리덴셜과 같은 모든 정보는 공격자에게 전송되는 구조입니다.
공격자의 정교하게 작성된 검찰청 사칭 페이지를 분석한 결과 favicon 기반으로 OSINT(Open Source Intelligence) 기법을 통해, 공격자의 공격 인프라를 IP 기반으로 분석해 보면, 아래와 같은 25개의 IP 분석 결과의 확인이 가능했습니다.
| No | IP | Country | ASN |
|---|---|---|---|
| 1 | 36.232.123.103 | TW | as3462 data communication business group |
| 2 | 36.232.120.150 | TW | as3462 data communication business group |
| 3 | 111.253.196.10 | TW | as3462 data communication business group |
| 4 | 36.232.94.52 | TW | as3462 data communication business group |
| 5 | 36.232.84.123 | TW | as3462 data communication business group |
| 6 | 36.232.80.95 | TW | as3462 data communication business group |
| 7 | 111.253.217.237 | TW | as3462 data communication business group |
| 8 | 111.253.219.78 | TW | as3462 data communication business group |
| 9 | 36.232.74.2 | TW | as3462 data communication business group |
| 10 | 111.253.219.230 | TW | as3462 data communication business group |
| 11 | 111.253.208.218 | TW | as3462 data communication business group |
| 12 | 36.232.123.247 | TW | as3462 data communication business group |
| 13 | 111.252.202.41 | TW | as3462 data communication business group |
| 14 | 111.253.195.51 | TW | as3462 data communication business group |
| 15 | 36.232.85.185 | TW | as3462 data communication business group |
| 16 | 36.232.120.121 | TW | as3462 data communication business group |
| 17 | 36.232.65.47 | TW | as3462 data communication business group |
| 18 | 36.232.96.165 | TW | as3462 data communication business group |
| 19 | 36.232.88.170 | TW | as3462 data communication business group |
| 20 | 36.232.126.92 | TW | as3462 data communication business group |
| 21 | 36.232.115.98 | TW | as3462 data communication business group |
| 22 | 36.232.114.50 | TW | as3462 data communication business group |
| 23 | 36.232.123.156 | TW | as3462 data communication business group |
| 24 | 36.232.96.213 | TW | as3462 data communication business group |
| 25 | 61.224.16.240 | TW | as3462 data communication business group |
기본적으로 공격자는 대만의 인프라를 악용한 공격 기법이 확인되며, 공격 유형 특성상 대한민국 사법기관의 홈페이지가 대만 네트워크 인프라를 이용할 가능성이 없다는 점은 명확해 보입니다.
한글도메인 표기 방식인 퓨니코드를 공격 도메인으로 정리해 보면 아래와 같습니다.
| 퓨니코드 | 한글 도메인 |
|---|---|
| xn--vb0bu90arvhfjb8x0b.kr | 법원행정과.kr |
| xn--s39a6is8bu2nojkukgqwlk4z.kr | 법원등기간편검색.kr |
| xn--24-u08i098b.com | 열람24.com |
| xn--ok0b21kw3g60ar45a.kr | 법원등기부.kr |
| xn--1301-9k4p792eokrzqb.kr | 민원광장1301.kr |
또한, 공격자의 공격 IP를 공격을 위한 URL 매칭 방식으로 표현하면 아래와 같습니다.
| IP | URL |
|---|---|
| 36.232.120.150 | http://36.232.120.150/site2025/3spo10/main22.do |
| 111.253.196.10 | http://111.253.196.10/site2025/2spo10/main21.do |
| 36.232.94.52 | http://36.232.94.52/2216site2025/3spo10/main22.do |
| 36.232.80.95 | http://36.232.80.95/site2025/3spo10/main22.do |
| 111.253.217.237 | http://111.253.217.237/211site2025/4spo10/main23211.do |
| 111.253.219.78 | http://111.253.219.78/2206site2025/4spo10/main23.do |
| 111.253.219.230 | http://111.253.219.230/2217site2025/2spo10/main21.do |
| 36.232.123.247 | http://36.232.123.247/site2025/3spo10/main22.do |
| 111.252.202.41 | http://111.252.202.41/221site2025/2spo10/main21.do |
| 36.232.123.103 | http://36.232.123.103/220site2025/4spo10/main23.do |
| 111.253.195.51 | http://111.253.195.51/site2025/4spo10/main23.do |
| 36.232.120.121 | http://36.232.120.121/220site2025/4spo10/main23.do |
| 36.232.65.47 | http://36.232.65.47/site2025/4spo10/main23.do |
| 36.232.96.165 | http://36.232.96.165/site2025/3spo10/main22.do |
| 36.232.88.170 | http://36.232.88.170/2206site2025/3spo10/main22.do |
| 36.232.126.92 | http://36.232.126.92/site2025/3spo10/main22.do |
| 36.232.115.98 | http://36.232.115.98/site2025/3spo10/main22.do |
| 36.232.114.50 | http://36.232.114.50/2217site2025/4spo10/main23.do |
| 36.232.123.156 | http://36.232.123.156/site2025/3spo10/main22.do |
| 36.232.96.213 | http://36.232.96.213/site2025/4spo10/main23.do |
| 61.224.16.240 | http://61.224.16.240/221site2025/4spo10/main23.do |
*본 문서에서 언급된 모든 IoC 목록은 로그프레소 CTI 서비스를 통해 제공되었음.
