정교해진 '교통민원24' 사칭 스미싱…“핸드폰 고유식별값 등 수집”

ⓒ게티이미지뱅크

최근 대표적인 스미싱(문자메시지를 통한 피싱) 수법인 '교통민원24'을 사칭한 스미싱 공격이 한글 서브도메인을 사용하는 등 정교해지고 있다. 스미싱 공격에 걸려 악성 애플리케이션을 다운받아 실행하면 기기의 고유식별값(UUID), 전화번호, 통신사 정보, 기기모델 등 정보가 빠져나가 주의가 당부된다.

이스트시큐리티가 교통민원24 사칭 스미싱이 최근 서브 도메인에 한글을 사용해 유포 중인 것으로 확인했다고 밝혔다.

이번에 발견한 스미싱은 '고지서나 범칙금이 발급됐다'는 내용으로, 교통민원24를 사칭한 이전의 공격 수법과 유사하다. 가장 큰 차이점은 문자 내 포함된 인터넷주소(URL)의 서브 도메인에 '고지서', '열람하기' 등과 같은 한글 문구를 사용했다는 점이다. '[*교통민원24] 귀하에게 고지서가 발부되었습니다. hxxps://고지서.beup.my' 식이다. 이는 백신 앱이 스미싱 문자에 포함된 악성 URL를 차단하는 사례가 늘어나면서 이를 우회하기 위한 수단으로 한글 서브도메인을 사용한 것으로 추정된다.

교통민원24 사칭 피싱 페이지.(이스트시큐리티 제공)

사용자가 스미싱 문자 내 포함된 링크를 클릭하면 교통민원24 사이트를 위장한 피싱 페이지로 접속된다. 피싱 페이지에서 '경찰청교통민원24 바로가기'를 클릭하면 악성 설치파일(APK)이 다운로드된 후 '교통정보센터'라는 악성앱이 깔린다.

악성 앱이 실행되면 사용자가 인지하지 못한 채 앱이 백그라운드에서 지속적으로 동작하고, 이후 메인액티비티(MainActivity)를 비활성화해 앱 아이콘이 홈 화면에서 숨김 처리된다. 이 때 010은 물론 011·016·017·018·019와 같은 국내 휴대폰 번호의 프리픽스(Prefix)를 체크하며, '+82'와 같이 한국 국가 코드가 아닐 시 동작하지 않는다.

이스트시큐리티는 에뮬레이터나 테스트 환경에서 사용되는 더미 번호와 핸드폰 번호의 자릿수도 확인하는 등 국내 사용자를 타깃으로 제작된 앱이라고 분석했다.

악성 애플리케이션 아이콘.(이스트시큐리티 제공)

특히 이 악성앱은 사용자 기기의 UUID, 전화번호, 통신사 정보, 기기모델, 안드로이드 버전, 전화·SMS·연락처·이미지 등 권한 체크, 네트워크 상태 등 정보를 수집한다.

이스트시큐리티는 “경찰서에서 발송하는 교통법규 위반 고지서는 종이 우편 또는 수신에 동의한 경우에 한 해, 국민 비서 모바일 고지서나 공인된 전자주소(샵메일)를 통해서만 전달한다”며 “구글 플레이 등 공식 경로를 통해 앱을 설치해야 하며 업무나 일상에 불필요한 경우엔 국제 발신 문자 수신을 차단하는 것도 좋은 예방책”이라고 제언했다.

조재학 기자 2jh@etnews.com