[보안 따라잡기]앗! 링크 잘못 눌렀더니..스미싱, 악성 앱에 광고까지

택배·국민지원금 사칭해 악성 앱 다운로드 유도
피싱 사이트서 계정정보 탈취 시도.."2차 피해도 우려"
카톡 채널추가 유도해 불법 주식리딩방 광고도

(자료=이스트시큐리티 알약 블로그 캡처)

[이데일리 이후섭 기자] 추석 연휴 이후에도 택배 확인, 백신접종예약, 국민지원금 등을 사칭한 스미싱 공격이 기승을 부리고 있다. 악성 앱을 내려받도록 유도해 개인정보를 훔쳐가거나 카카오톡 채널, 친구추가를 통한 불법 광고에도 노출되고 있어 사용자의 각별한 주의가 요구된다.

2일 보안 전문기업 이스트시큐리티에 따르면 스미싱 공격은 △악성 앱을 내려주는 링크가 포함된 스미싱 △피싱 페이지로 유도하는 스미싱 △카카오톡 채널·친구추가 스미싱 등의 유형으로 정리할 수 있다.

스미싱(smishing)은 `문자메시지(SMS)`와 `피싱(Phishing)`의 합성어로, 악성 앱 주소가 포함된 휴대폰 문자를 대량 전송 후 이용자가 악성 앱을 설치하거나 전화를 하도록 유도해 금융정보, 개인정보 등을 탈취하는 수법이다. 이는 보이스피싱, 전자상거래 사기, 기타 다양한 사기에 광범위하게 이용되고 있다.

추석 연휴를 전후로 기승을 부렸던 택배 문자 사칭의 공격은 가장 고전적인 형태로, 사용자를 현혹하는 문구와 함께 악성 앱을 내려주는 링크가 문자 내에 포함되어 있다. 이러한 공격은 문자에 포함돼 있는 링크에서 직접 앱을 내려받도록 해 보안시스템을 통해 쉽게 탐지가 가능하다.

보안시스템을 우회하기 위해 링크를 클릭하면 공격자가 만들어 놓은 피싱 사이트로 이동하는 방식의 새로운 공격이 등장했다. 피싱 사이트에서 사용자의 아이디나 비밀번호 등 개인정보를 입력하도록 유도해 이를 유출하며, 개인정보 입력 후 압성 앱을 추가로 내려받도록 하는 경우도 있다.

이스트시큐리티 관계자는 “이러한 피싱 페이지는 정교하게 제작됐기에 사용자들이 쉽게 속을 수 있다”며 “다만 악성앱을 내려받을 경우 모바일 백신에서 탐지될 수 있다”고 설명했다.

최근에는 스미싱 문자 내 링크를 클릭하면 공기업이나 택배기사 등을 위장한 카카오톡 채널추가, 친구추가 페이지로 넘어가는 형태의 공격이 많이 발생하고 있다. 실제 추가한 채널은 불법적인 주식 리딩방을 광고하는 목적으로 운영되고 있으며, 채팅을 통해 추가 개인정보 유출을 시도하기도 한다. 이러한 방식의 경우 악성 앱을 내려주거나 따로 피싱페이지가 존재하는 것이 아니기에 모바일 백신에서는 탐지를 할 수 없다.

코로나19 백신 접종 예약문자로 위장해 광고 수익을 노리려는 스미싱 공격도 등장했다. 백신 접종예약통지서가 발송 완료됐다는 내용과 함께 포함된 인터넷주소(URL)을 클릭하면 특정 홈페이지 내 특정 페이지로 접속된다.

해당 페이지에는 스미싱과 관련된 내용과 함께 주식관련 투자, 택배조회 서비스를 가장한 사이트를 조심하라는 주의사항이 언급돼 있어 개인정보 유출이나 악성 앱 다운로드를 유도하고 있지는 않는다. 하지만 페이지 내 특정 광고도 포함돼 있어 게시물에 포함된 광고의 노출을 높여 광고수익을 올리려는 것으로 추정된다.

이스트시큐리티 측은 “악성앱을 통한 해킹 공격이 아닌, 사회공학적 기법을 이용한 공격이 증가하면서 모바일 백신만으로 피싱 피해를 막기가 점점 어려워지고 있다”며 “모바일 페이지로 접속했다면 반드시 먼저 URL을 확인하는 등 보안수칙을 준수해야 한다”고 당부했다.

이후섭 (dlgntjq@edaily.co.kr)