교통범칙금통지 등 문구로 속인 뒤 URL로 악성 apk 파일 전송

apk 파일 아이콘 역시 실제 앱과 유사하게 만들어 사용자 속여

어떤 유형의 스미싱이든 기본 보안 수칙만 지키면 공격 피할 수 있어

[보안뉴스 이상우 기자] 스미싱 수법이 날로 교묘해지고 있다. 택배 발송 등을 사칭해 사용자를 속이는 ‘고전적인’ 유형이 가장 많지만, 시의적절한 이슈나 사용자가 궁금할 만한 내용으로 사용자를 속여 URL을 클릭하도록 유도한다.

​

▲교통범칙금통지서 사칭 스미싱(좌)과 링크를 클릭 했을 때 설치된 apk 파일(우)[자료=보안뉴스]

최근 발견된 ‘교통범칙금통지서’ 사칭 스미싱이 이러한 유형 중 하나다. 사용자가 마치 교통법규를 위반했다는 뉘앙스로 ‘교통민원’, ‘범칙금’, ‘통지’ 등의 표현을 사용해 사용자를 속인다. 이러한 문자 메시지를 받은 사람은 혹시 자신도 모르게 법규를 위반한 사실이 있지 않을까 걱정하며 메시지에 포함된 URL을 클릭할 가능성이 크다. 여기에 스미싱 메시지에서 주로 보이는 어색한 한국어나 불필요한 마침표 등이 포함돼 있지 않아 의심을 줄인다.

특히, URL을 클릭한 뒤 내려받은 악성 애플리케이션 설치 파일은 ‘교통민원24(이파인)’ 앱을 사칭한 아이콘까지 사용하며 사용자를 속이고 있다. 사용자가 사칭한 아이콘에 속아 악성 설치 파일을 실행할 경우 이를 통해 개인정보가 유출되는 것은 물론, 유출된 주소록, 업무용 계정 정보, 금융 정보 등을 통한 2차 피해 역시 발생할 수 있다.

공격자는 건강검진통지서, 연말정산, 미수령 택배, 연하장, 재난지원금 등 사용자가 속을만한 다양한 소재를 이용해 스미싱을 시도한다. 하지만, 소재가 바뀌더라도 공격자의 목적은 크게 다르지 않으며, 궁극적으로는 URL을 클릭하도록 만든다. 이 때문에 피해를 예방하기 위해서는 문자 메시지에 포함된 URL을 함부로 누르지 않는 것이 좋으며, 부득이하게 눌러야할 경우 메지시를 보낸 상대방이 신뢰할 수 있는 사람인지 확인해야 한다.

URL을 클릭한 뒤 나타나는 유형은 크게 두 가지로, 첫 번째는 계정 탈취다. 포털 사이트나 이메일 서비스 등과 아주 유사한 피싱 사이트를 꾸미고, 사용자가 여기에 로그인하도록 유도하는 방식이다. 이러한 피싱 사이트에 속은 사용자가 자신의 ID와 비밀번호를 입력할 경우 계정 탈취와 함께 각종 정보가 유출되는 사고가 발생할 수 있다. 이를 예방하기 위해서는 URL을 통해 접속한 사이트에 함부로 계정정보 등 개인정보를 입력하지 말고, 주소창에 올바른 주소가 표시되는지 확인해야 한다. 특히, 자신의 계정에 2단계 인증을 적용했다면, 실수로 ID와 비밀번호가 유출됐더라도 이를 획득한 공격자가 함부로 사용할 수 없게 된다.

두 번째는 악성 앱 설치 파일을 내려받는 유형이다. 이는 외부 경로로 내려받은 파일을 통해 앱을 설치할 수 있는 안드로이드 스마트폰을 대상으로 주로 발생하는 공격 유형으로, URL 클릭 시 사용자 스마트폰에는 알 수 없는 apk 파일이 저장된다. 단순히 이를 저장하는 것만으로는 크게 위협이 되지 않으며, 스마트폰 기본 보안 설정에서는 외부 경로로 받은 apk 파일을 함부로 실행할 수 없도록 돼 있어, 본인이 직접 설정을 변경한 일이 없다면 크게 걱정하지 않아도 되는 유형이다.

다만, 어떤 이유에서든 외부 파일을 통한 설치가 필요한 사용자라면 스마트폰 백신을 이용해 불필요하게 저장된 악성 apk 파일을 제거하는 것이 좋다. 특히, 국내 보안 기업이 제작한 모바일 백신의 경우 한국어 기반의 스미싱 및 악성 URL 등에 대응하는데 더 나은 성능을 보이고 있으니 이를 활용하면 된다.

[이상우 기자(boan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=97599&page=1&kind=1)]​