“카카오 픽이라 해 믿었는데”…‘송금 받기’ 링크 눌렀다간 ‘탈탈’ 털린다

ESRC, ‘카카오P’, ‘송금’ 등의 키워드 이용한 스미싱 주의 경보
앱설치 파일 내려받으면 ‘카카오픽’ 악성앱 설치…주소록·사진첩 탈취
출처가 불분명한 메일의 발신자 확인 및 첨부파일 실행 금지

피싱 화면. 이스트시큐리티 제공

#[Web발신] 친구님이 카카오P에서 ******님께 5만원을 송금했습니다. 안전한 송금입니다. 친구에게 송금여부를 직접 확인해보세요.

●금액 : 50,000원

●기한 : 2024-01-20 23:59:59까지

아래 링크를 통해 송금을 받아주세요.

hxxps://xg**.kr/***

이 메세지는 카카오P 클릭참여를 통해 지원되는 이벤트로 발송되었으며, 메세지를 받은 전화번호로만 금액을 수령할 수 있습니다.

이처럼 ‘카카오P’, ‘송금’ 등의 키워드를 이용해 스마트폰 사용자의 클릭을 유도하는 스미싱이 유포되고 있어 보안 업계가 각별한 주의를 당부했다.

해당 키워드에 속아 문자 내 인터넷주소(URL)을 클릭할 경우, 카카오가 서비스하는 것처럼 위장한 ‘카카오픽’이란 악성앱이 설치된다. 이 앱을 실행하게 되면 스마트폰 정보는 물론 SMS 내용, 주소록, 사진첩, 공인인증서 등이 공격자의 서버로 전송된다.

악성앱이 설치된 피해자의 휴대전화 모습. 이스트시큐리티 제공

29일 이스트시큐리티 시큐리티대응센터(ESRC)는 카카오 서비스로 위장한 악성 앱을 내려받도록 유도하는 스미싱을 발견했다고 그 내용을 공개했다.

스미싱 문자에는 ‘친구가 카카오P에서 5만원을 송금했습니다’라는 문구와 함께 링크가 포함돼 있어 사용자의 클릭을 유도한다.

문자메세지 내 링크를 클릭하면, 피싱 페이지로 이동하는데 마치 실제 신규 서비스 런칭 페이지처럼 정교하게 제작돼있다. 해당 페이지는 ‘진짜가 다가온다 카카오P, 참여를 클릭하면 100만원이 즉시 지급됩니다, 참여하러 가기’란 문구를 담고 있다.

사용자가 ‘참여하러가기’ 버튼을 누르면 ‘카카오P 참여를 위해 확인을 눌러주세요’라는 화면이 뜨며, 확인을 누르면 앱을 설치하기 위한 apk파일이 다운로드된다.

사용자가 내려받은 apk를 실행하면 스마트폰 바탕화면에 ‘카카오픽’ 이름의 악성 앱이 생성된다. 이를 실행하면 전화, SMS, 주소록, 미디어파일 등에 접속할 수 있는 권한들을 요구한다.

사용자가 권한을 모두 허용해 정상적으로 악성 앱이 설치되면, 안드로이드 소프트웨어개발키트(SDK) 버전, 스마트폰 모델, 고유식별번호(IMEI), 전화번호 등의 정보들을 수집한다. 수집한 정보들은 공격자 서버로 전송되며, 이후 SMS 내용, 주소록, 위치정보, 사진첩, 공인인증서와 같은 민감 정보들을 추가로 탈취해 공격자 서버로 전송한다.

권한 요구 화면. 이스트시큐리티 제공

공격자들은 이렇게 탈취한 각종 정보들을 조합해 2차 피해를 발생시킬 수 있는 만큼, 사용자들의 각별한 주의가 필요하다.

피싱 메일로 인한 피해를 예방하기 위해서는 ▲출처가 불분명한 메일의 발신자 확인 및 첨부파일 실행 금지 ▲백신 최신버전 유지 및 피싱 사이트 차단 기능 활성화 ▲운영체제(OS) 및 인터넷 브라우저, 오피스 소프트웨어(SW) 등 프로그램 최신 보안패치 적용 등 기본 보안수칙을 준수해야 한다.

ESRC 측은 "수상한 SMS내 포함돼 있는 링크 클릭을 지양해 주시기 바라며, 실수로 링크를 눌러 apk를 내려받았다 하더라도 설치를 하지 않았다면 아무런 피해가 없으니 바로 삭제하길 바란다"고 당부했다．

박세영 기자