[우리문화신문=김영조 기자] 슬기말틀(스마트폰)은 일상생활에서 필수적인 도구로 자리 잡았다. 이에 따라, 손말틀(모바일) 악성 범죄가 지속해서 늘고 있다. 이 가운데서도 스미싱(Smishing)은 문자 메시지를 이용해 피싱 페이지나 악성 앱을 내려받는 누리주소(URL)을 퍼뜨려, 개인정보 빼앗기, 인증 남용, 섹스토션(Sextortion) 곧 누리소통망(SNS)를 이용한 성범죄 등 다양한 범죄의 주요 수단으로 떠오르고 있다. 이번 글에서는 안랩 모바일 분석팀이 조사한 사회공학적 스미싱 유형을 살펴보고, 스미싱 피해를 예방하는 방법을 구체적으로 살펴본다.
올 지난 해 수집된 스미싱 메시지의 주요 사례는 [표 1]과 같다. 공격자는 악성 앱을 통한 계정 탈취, 피해자 감시, 스미싱 메시지 재유포 등 다양한 기술적 범죄를 시도한다.
악성 앱으로는 피싱 누리집을 이용할 수 있는 기능과 알림 기능만 탑재한 웹 앱 그리고 실제 악성 행위를 하는 악성 앱이 있으며, 악성 행위를 하는 대표적인 앱으로는 C2서버(악성코드에 감염된 컴퓨터나 서버를 대상으로 공격자가 원하는 행위를 하도록 명령을 내리는 서버)를 통한 문자메시지 훔치기와 몸캠(몸을 드러내는 영상통화) 피싱을 통해 돈을 요구하는 인포스틸러(Infostealer, 악의적인 정보빼앗기 악성코드)가 있다. 문자 빼앗기(SMS스틸러)는 주로 경조사나 공공기관으로 속이고, 인포스틸러는 누리소통망으로 속이거나 성범죄 수단으로 사용되는 경우가 많다.
대표적인 스미싱 유형
1. 공공기관 서비스 사칭
스미싱 가운데서도 보편적으로 알려진 공공기관이나 정부로 속인 사례가 가장 많다. 특히 건강보험공단이나 정부 사칭 메시지는 악성 앱 설치를 유도하는 경우가 대부분이다. 우체국 사칭의 경우, 미배송 또는 나라 밖 배송으로 속인 가짜 우체국 페이지를 통해 개인정보를 빼앗는다.
2. 누리소통망 승강장(플랫폼) 사칭
누리소통망 계정 정지 경고와 같이 승강장 관련 사칭 메시지를 통해 피해자 계정을 빼앗는 사례도 있다. 텔레그램(Telegram)이 가장 대표적인 승강장으로, 공격자는 재로그인 요청, 정책 위반 등의 명목으로 스미싱 메시지를 전송한다. 사용자가 입력한 인증 코드가 C2서버로 전송되면, 공격자는 해당 텔레그램 계정으로 자동 접속해 로그인 기기 연동을 해지하고, 사용자의 텔레그램 사용을 차단한다.
3. 투자 관련 사칭
코인이나 주식 투자를 명목으로 클릭을 꼬드기는 스미싱은 주로 젊은 층을 대상으로 한다. 이런 투자 사기에는 관련 기업의 고객센터 직원이나 참여자로 속여(일명 바람잡이) 등의 인력이 투입되며, 누리소통망과 기업용 상담 승강장 등을 적극적으로 활용한다.
최근에는 메시지만 퍼뜨리면 피해자가 경계심을 가지게 되므로, 전략을 변경하여 [그림 5]과 같이 실수를 통한 우연한 만남이나 누리소통망에서 공격자가 유포한 게시글에 “좋아요” 등을 계기로 메신저 앱을 통해 친분을 쌓는다.
이후 공격자는 “우리 둘만 알고 있는 정보”라며 주식과 코인 차트 조작 누리집의 웹 앱 설치 또는 신용사기 투자방에 사용자를 초대하고, 기대감이 높은 종목이라 소개하며 금전 이체를 유도한다.
4. 경조사 사칭
[그림 1]과 같이 경조사로 속인 스미싱도 악성 앱을 설치하는 수단으로 대거 유포되고 있다. 이 유형은 보안에 상대적으로 덜 민감한 중노년층을 표적으로 삼으며, 악성 앱 설치를 목적으로 한다. 메시지 내용에는 구체적인 지인 또는 가족의 이름이 포함될 수 있으며, 자극적인 내용을 포함해 즉각적인 누름(클릭)을 유도한다.
5. 성적 만남 사칭
이 밖에, 메시지나 누리소통망을 통해 성적 만남을 제안하는 수법도 널리 사용되고 있다. 이들은 피해자와 메신저 앱을 통해 음란한 대화를 주고받는 과정에서 악성 앱 설치를 유도한다.
스미싱 예방 대책
스미싱 위협을 예방하는 방법을 정리하면 다음과 같다.
1) 승강장(플랫폼) 계정 OTP(일회용 비밀번호 생성기)와 다중인증(MFA) 활성화: 문자빼앗기(SMS스틸러)는 문자 인증을 통한 계정 가입과 탈취가 목표다. 따라서 문자를 뺀 다른 인증을 추가하거나, OTP 앱을 통해서 인증하는 것이 안전하다.
2) 대중적인 브랜드 앱 사용: 주식과 코인 관련 스미싱에서 설치되는 웹 앱은 유명 거래소 브랜드로 속이면 사용자가 설치했거나 사용한 경험으로 인해 조잡한 기능이 드러날 수 있어 가짜 거래소 상표를 사용한다. 이러한 웹 앱의 연동된 누리집은 공격자가 표를 조작하기 때문에 모르는 사람이 알려지지 않은 상표명 거래소를 권유할 때 설치해서는 안 된다.
3) 공식 앱 마켓을 통한 앱 설치: 파일 내려받기 형식의 설치는 악성 앱일 가능성이 매우 높다. 따라서 불분명한 누리집 주소를 통해 앱을 설치하는 것은 되도록 피해야 한다. 앱 마켓과 유사한 환경의 웹 꼭지도 공식 마켓 앱에서 검색한 뒤 내려받아야 한다.
4) 메시지를 통한 누리집 주소 접속 금지: 메시지로 전송된 누리집 주소는 누르지 않고, 공공기관 메시지의 경우 반드시 공식 기관 누리집이나 공식 앱 마켓에서 설치한 앱을 통해 관련 서비스의 상세 내용을 확인해야 한다.
5) 백신 앱 설치와 최신 버전으로 갱신: 스미싱 관련 악성 앱들의 경우 백신 앱 탐지를 피하려고 지속해서 바꾸거나 새로운 해법을 적용하고 있다. 이에 대응해 국내 백신 회사들은 해당 악성 앱들을 우선해서 수집하거나 진단할 수 있는 환경이 구축돼 있다. 따라서 AhnLab V3와 같은 국내 백신 앱을 설치하고, 이를 최신 버전으로 갱신할 것을 권고한다.
끝맺음
현재도 스미싱 기반 손말틀 보안 위협은 지속해서 다양화되고 있으며, 주요 특징으로는 신뢰성을 가장한 공공기관으로 속이거나 긴급한 상황과 성적 문구를 활용한 접근 방식이 있다. 이러한 메시지는 사용자의 경계심을 낮추고 신속한 대응을 요구하는 상황을 만들어 사용자가 의심 없이 속임 꼭지에 접속하고 악성 앱을 설치하도록 한다.
사용자들은 이 같은 스미싱 사례를 인지하고, 출처가 불분명한 메시지나 누리집 주소를 우르지 않아야 한다. 또 잘 모르는 누리집 주소를 통한 불확실한 앱은 설치하지 않은 것이 좋다. 또한, 앱을 내려받을 때 반드시 구글 플레이 스토어나 갤럭시 스토어와 같은 공식 마켓을 사용해야 한다. 마켓 내에서도 신뢰할 수 있는 브랜드 앱 사용을 권장하며, 브랜드 앱이 아닐 때 다운로드 수와 사용자 평을 확인해 앱의 신뢰성을 검증할 필요가 있다.
이 밖에, 다크웹 접속을 위해서는 특정 프로그램을 사용해야 하는 다크웹을 통해 유통되는 새로운 보호 솔루션을 활용해 손말틀 안 기본 보안 서비스나 백신 앱 탐지를 회피하려는 시도가 늘어나고 있다. 이에 대응하기 위해 국내 백신 회사는 지속해서 점검과 개선된 진단 방법을 적용하고 있다. 따라서 사용자들은 백신 앱 설치와 최신 버전으로 갱신이 필수다.
AhnLab 콘텐츠기획팀 제공
