URL 클릭 유도하는 스미싱 공격의 ‘시그널’을 찾아라

페이지 정보

작성자 cfpa 댓글 0건 조회 53회 작성일 21-04-17 11:51

본문

출처 : 보안뉴스

https://www.boannews.com/media/view.asp?idx=96608&page=1&kind=1


문자 메시지를 이용한 사기 ‘스미싱’은 대표적인 사이버 위협 중 하나다. 과거에는 휴대폰을 통해 대용량 데이터를 주고 받기 어려웠던 만큼, 스미싱은 보이스 피싱 등과 연계하는 사기 정도에 그쳤다. 하지만, 스마트폰 보급률이 늘면서 무선 인터넷을 언제 어디서나 이용하고, 스마트폰 애플리케이션을 통해 수많은 정보를 처리하면서 스미싱을 통한 피해 역시 과거보다 커지고 있다.


스미싱 공격의 목적은 다양하다. 대표적인 것이 갤럭시 등 안드로이드 스마트폰을 노린 악성 애플리케이션(이하 앱) 설치다. 공격자는 문자 메시지에 포함된 URL을 통해 악성 앱 설치 파일을 내려받도록 유도한다. 만약 사용자가 내려받은 apk 파일을 실행할 경우 알 수 없는 악성 앱이 설치되고, 이를 통해 주소록이나 문자 메시지 등의 개인정보는 물론, 사생활을 담은 사진이나 금융관련 정보 역시 유출될 수 있다. 나아가, 공격자가 유출한 정보를 기반으로 더욱 정교한 보이스피싱 범죄를 저지르는 것도 가능하다.

스미싱을 통해 사용자를 가짜 사이트로 유도하고, 아이디와 비밀번호를 빼돌리는 공격은 안드로이드와 iOS를 가리지 않고 일어난다. iOS 기기의 경우 운영체제 정책상 애플리케이션 설치 파일을 내려받아 실행하는 방식이 사실상 불가능하기 때문에 이같은 방식을 이용한다. 공격자는 구글, 애플, 네이버 등 유명 서비스를 사칭해 유사한 로그인 화면을 꾸미고, 여기에 속아 사용자가 자신의 계정 정보를 입력하게 되면 이 정보가 공격자에게 그대로 전달되는 방식이다. 뿐만 아니라 최근에는 웹 사이트 접속 시 스마트폰 운영체제를 자동으로 파악해 안드로이드는 apk 파일 내려받도록 하고, iOS는 계정 정보를 입력하도록 유도하는 등 스미싱 역시 진화하고 있다.
 

82436039_7618.jpg

▲아이폰을 노린 애플 계정 탈취 목적의 스미싱[자료=한국인터넷진흥원]


피싱 이메일과 마찬가지로 스미싱 메시지에도 눈에 띄는 몇 가지 특징이 있다. 우선 주로 ‘택배’ 배송 등을 사칭한다는 점이다. 이스트시큐리티가 발표한 자료에 따르면, 지난 2021년 2월 스미싱 유형은 택배 사칭이 99.8%로 압도적으로 높은 비중을 차지했다. 코로나19가 장기화되면서 택배를 통한 물류가 늘어났고, 이를 노리는 스미싱 역시 증가하는 추세다. 특히, 설이나 추석 등 물류량이 급증하는 기간에는 택배 사칭 스미싱 공격 역시 크게 늘어난다.

이러한 택배 사칭 스미싱 메시지를 언뜻 보면, 진짜 같지만, 자세히 살펴보면 일반적인 택배 발송 메시지와 차이가 있다. 보통 택배 발송 메시지에서는 누가 보낸 물건인지, 받는 사람의 이름(본인)은 무엇인지, 도착 예정 시간은 언제인지, 담당자는 누구인지 등의 정보가 자세하게 담겨 있다. 반면, 스미싱 메시지에는 ‘택배가 발송되었습니다. 확인 바랍니다 URL’ 같은 방식으로 어떻게든 사용자가 URL을 누르도록 유도한다. 특히, ‘미수령 택배’. ‘도로명 주소 변경’ 같은 키워드를 사용할 경우 혹시나 하는 생각에 이를 눌러보는 사용자도 많다.
 

82436039_4169.jpg

▲택배 사칭 스미싱에 주로 쓰인 문구[자료=이스트시큐리티]


따라서 자신과 큰 관련이 없는 메시지, 예를 들면 인터넷 쇼핑 등을 통해 물건을 주문하지 않은 상황에서 자세한 내용이 담겨있지 않은 택배 관련 메시지를 받게 된다면 스미싱으로 간주하는 것이 좋다.

스미싱 문자 메시지의 내용을 살펴보면 ‘대.출.상.담’, ‘재난지.원금’, ‘제 시간.에 픽.업하십시오’ 처럼 불필요한 위치에 마침표(.)가 찍혀있는 경우도 많다. 이러한 마침표는 특정 키워드를 통한 스팸 분류를 막기 위함으로 보인다. 가령, 사용자가 대출안내, 대출상담 등의 키워드를 스팸으로 분류했다면 해당 메시지를 받지 않게 된다. 이 때문에 공격자는 보낸 스미싱이 상대방에게 보다 잘 도달하도록 하기 위해 불필요한 위치에 마침표를 찍어 키워드 기반 차단을 회피하려는 속셈이다. 하지만, 인공지능 기반 차단 서비스 도입을 앞두고 있는 만큼, 공격자의 이러한 노력도 허사가 될 것으로 보인다.
 

82436039_6846.jpg

▲불필요한 위치에 마침표를 찍어 스팸으로 분류되는 것을 피한다[자료=보안뉴스]


문자 메시지에 포함된 URL을 확인하는 것도 도움이 된다. 보통 피싱 사이트를 만들기 위해 사이버 공격자는 보안이 허술한 웹 사이트를 공격한 뒤 관리자 모르게 자신만의 페이지를 만드는 경우가 많다. 자연스럽게 웹 페이지 주소는 길어지게 되며, 이 때문에 단축 URL 서비스를 이용한 주소를 문자 메시지에 첨부하는 방식을 택하기도 한다. 단축 URL을 무조건 스미싱으로 간주할 수는 없지만, 앞서 언급한 ‘정보가 부족한 문자 메시지’에 단축 URL이 포함돼 있다면 거의 대부분 스미싱이라고 보면 된다.

정교한 공격을 위해 실제 서비스 이름을 위장한 URL로 눈을 속이는 타이포스쿼팅을 쓰는 경우도 있다. 이에 URL 주소가 실제 택배 회사의 주소가 맞는지 다시 한 번 확인하는 것이 좋다. 가령, CJ대한통운은 택배 앱 설치와 관련한 메시지에서 ‘http://앱다운[.]com’이라는 URL 외에 다른 주소는 절대로 사용하지 않는다고 강조하고 있다.

최근에는 피싱 사이트로 끌어들이는 방식 외에도, 카카오톡 오픈 채팅방 등 다른 대화 수단으로 유도하는 스미싱 공격 역시 눈에 띄게 늘어나고 있다. 대표적인 사례가 재난지원금 지급과 관련한 사칭으로 카카오톡 대화방으로 유도하는 방식이다. <보안뉴스>는 지난 1월, ‘3차 재난지원금 신청? 스미싱에 속은 척 카톡 보내봤더니’ 기사를 통해 스미싱에 속은 척 공격자와 대화를 시도했으며,이들은 카카오톡 오픈채팅방을 통해 주민등록번호, 계좌번호 등 주요 개인정보를 요구했다. 이러한 유형의 사기는 현재 ‘주식 정보방’ 등의 형태로도 쓰이고 있기 때문에 주의를 기울여야 한다.
 

82436039_3120.jpg

▲최근에는 URL을 통해 카카오톡 오픈 채팅방으로 유도하는 방식이 늘고 있다[자료=보안뉴스]


사실 사용자가 스미싱 메시지에 포함된 URL을 누르더라도 즉각적인 피해가 발생할 가능성은 적다. 하지만, 이렇게 접속한 가짜 웹 사이트에서 추가적인 행위를 할 경우 피해를 입을 수밖에 없다. 우선, 스마트폰에 포함된 URL을 통해 접속한 사이트에서는 아이디, 비밀번호, 전화번호, 주소 등 개인정보를 입력하는 것을 지양해야 한다.

또한, URL을 누른 뒤 스마트폰에 저장되는 APK 파일 역시 실행해서는 안되며, 이러한 파일은 즉시 삭제하거나, 스마트폰 백신 앱을 설치해 자동으로 삭제되도록 하는 것이 좋다. 악성 앱 탐지 및 삭제 기능은 무료 모바일 백신인 V3 모바일 시큐리티, 알약M, 맥아피 모바일 시큐리티 등에도 포함돼 있기 때문에 가급적 사용자는 이를 설치해 사용하는 것이 좋으며, 후후 등 발신자 정보를 알려주는 앱을 함께 사용하면 스미싱 공격을 인지하고 이를 차단하는데 많은 도움을 받을 수 있다.
[이상우 기자(boan@boannews.com)]