'아 그 때 신호등에서? 무슨 '경찰청 교통 범칙금'이지? "절대 누르지 마세요"

[스포츠경향]

최근 경찰청을 사칭한 이른바 ‘교통범칙금 통지’ 문자 메시지가 불특정 다수에게 전파되고 있어 주의해야 한다.

스미싱으로 날아오고 있는 가짜 경찰청교통민원 ‘교통범칙금’ 문자메시지.

취재결과 지난 19일부터 발송되기 시작한 최신의 ‘스미싱’ 기법이다.

확인해보니 이번 공격은 ‘교통범칙금 통지’를 위장한 악성 문자 내 ‘줄어든 URL’이 내장돼 있고 이후 이용자가 이를 누르면 공격자가 미리 만들어둔 가짜 ‘경찰청 교통민원24’ 사이트로 접속되도록 개발돼 있다. 이후 전화번호 입력번호까지 유도시켜 클릭하면 해당 디바이스와 스마트폰에 악성코드들이 이식되도록 개발돼 있다.

온라인 포털 등에 오르고 있는 교통범칙금 스미싱 문자 메시지 캡처

스미싱(Smishing)이란 사람이나 기업을 사칭, 개인정보를 요구하거나 휴대폰 소액 결제를 유도하는 공격 방법이다.

특히 ‘경찰청 범칙금’이라는 단어를 통해 클릭 유도 가능성을 끌어올린 점, 줄어든 URL 주소를 이용해 해당 접속 파킹 사이트 주소를 비노출시킨 점 등으로 이 문자메시지를 보고 클릭할 가능성이 매우 높다고 보안업계는 보고 있다.

이를 두고 안랩 등 IT 보안 업계에선 ‘절대 해당 URL을 누르지 말라’고 당부하고 있다. 당연히 이런 문자메시지를 받고 실제 진짜 경찰청 교통민원24 사이트내 범칙금을 확인해보면 ‘범칙금’은 존재하지 않는다. ‘해당 문자 메시지들이 거짓 유도 URL’이기 때문이다.

그럼에도 이 문자 메시지 내 URL을 누르면 약간의 로딩 시간 이후 가짜로 만든 ‘경찰청교통민원24’ 사이트로 곧바로 연결되는데 ‘사이트 색상’까지 유사한 형태로 제작된 곳이 등장한다. 또 핸드폰 번호 입력창이 나와 이 때 전화번호를 누르면 조회는 커녕 ‘메인격 악성코드’가 이용자 몰래 설치된다.

경찰청민원 사칭 모바일 사이트. 아이콘, 색상, 캐릭터까지 흡사한 수준이다.

실제 경찰청 교통민원24, PC 버전 사이트(efine.go.kr) 모습

반면 ‘안랩 V3모바일 시큐리티’가 휴대폰에 설치돼 있으면 ‘해당 URL’ 접속 시 ‘무한로딩’이 걸리며 현재는 차단되고 있다. 하지만 미설치된 휴대폰 경우엔 공격자들이 만든 가짜 ‘경찰청교통민원24’까지 접속돼 이를 볼 수 있다. 참고로 국내 무인단속내역 등 교통범칙금·미납 과태료 등은 우편으로 발송되고 있다.

안랩 엔진개발팀 강동현 수석연구원은 “공격자는 공격 성공률을 높이기 위해 일상과 밀접한 주제를 사용할 뿐만 아니라 보안제품의 탐지를 우회하기 위한 다양한 방법을 시도한다”고 말했다.

손재철 기자 son@kyunghyang.com