추석 앞두고 스미싱 공격 늘어나...공격형태 다양해지고 수법도 정교해져
[보안뉴스 원병철 기자] 민족 대명절 추석이 다가오면서 이를 악용한 사이버공격이 기승을 부리고 있다. 문제는 이러한 공격에 부모님을 비롯해 IT에 관심이 없는 사람들은 쉽게 피해를 볼 수 있다는 사실이다. 특히, 누구나 사용하는 문자메시지를 이용한 ‘스미싱(Smishing)’ 공격으로 가장 많은 피해를 입고 있다. 스미싱은 문자메시지(SMS)와 피싱(Phishing)의 합성어로 문자메시지에 URL로 악성코드를 설치해 소액결제나 사용자 정보를 탈취하는 사이버 공격이다.
[이미지=utoimage]
이스트시큐리티 시큐리티대응센터(ESRC)는 스미싱 문자는 오래전부터 지속적으로 유포되어 왔으며, 시간이 지날수록 그 수법도 점점 기발해지고 있다면서 스미싱 문자의 공격유형에 대해 정리했다.
△악성 앱을 내려주는 링크가 포함된 스미싱
▲악성 앱 다운로드 링크가 포함된 스미싱[자료=ESRC]
가장 고전적인 형태로, 사용자를 현혹하는 문구와 함께 악성 앱을 내려주는 링크가 문자 내에 포함되어 있다. 이러한 스미싱의 경우, 문자에 포함되어 있는 링크에서 직접 앱을 내려주기 때문에 보안시스템을 통해 쉽게 탐지가 가능하다.
△피싱 페이지로 유도하는 스미싱
▲긴급재난지원금 조회 페이지를 위장한 스미싱[자료=ESRC]
고전적인 스미싱의 형태에서 조금 발전한 형태다. 직접 악성 앱을 내려주는 경우, 보안시스템을 통해 쉽게 탐지가 가능해지면서, 보안시스템을 우회하기 위해 새로 등장한 방식이다. 사용자가 스미싱 문자에 포함되어 있는 링크를 클릭하면, 공격자가 만들어 놓은 피싱 페이지로 이동한다. 피싱 페이지에서 기본적인 개인정보 입력을 통해 개인정보를 유출하며, 때로는 개인정보 입력 후 악성 앱을 내려 받는 단계가 추가로 존재하기도 한다. 이러한 피싱 페이지는 정교하게 제작되었기 때문에 사용자들이 쉽게 속을 수 있다. 다만, 악성 앱을 내려 받을 경우 모바일 백신에서 탐지할 수 있다.
△카카오톡 채널/친구추가 스미싱
▲카카오톡 친구추가를 유도하는 스미싱[자료=ESRC]
이러한 스미싱의 경우 사용자를 현혹하는 문구와 함께 링크가 포함되어 있다. 스미싱 문자 안의 링크를 클릭하면 악성 앱이 내려오는 대신, 실제 카카오톡 채널추가 혹은 카카오톡 친구추가 페이지로 넘어간다. 이렇게 추가한 카카오톡 채널 혹은 친구는 공기업, 택배기사 등을 위장하고 있으며, 이러한 방식을 이용해 채널의 친구수를 늘리고 주식 리딩방이나 원래 목적의 홍보성 채널로 변경하거나, 채팅을 통해 추가 정보 유출을 시도할 가능성이 있다. 이러한 방식의 스미싱의 경우, 악성 앱을 내려주거나 따로 피싱페이지가 존재하는 것이 아니기 때문에 모바일 백신에서는 탐지를 할 수 없다.
△사용자의 추가 행동을 유도하는 스미싱
▲금융사를 위장해 저금리 대출을 안내하는 스미싱[자료=ESRC]
이전부터 꾸준히 발송되어 오던 스미싱 문자로, 해외 혹은 국내에서 수신자 카드로 무단으로 결제된 문구, 금융기관을 사칭해 저금리 대출가능 등의 문구로 사용자들을 현혹한다. 이러한 문자의 경우 제일 하단에 고객센터, 소비자보호원, 문의 등의 문구와 함께 전화번호가 안내되어 있어 사용자들의 문의 전화를 유도한다. 만약 사용자가 스미싱 문자 내 번호로 전화를 하면, 질문을 통해 개인정보를 유출하며, 개인정보가 도용되었다며 대신 신고를 해준다고 유도하거나 금융 앱 설치가 필요하다며 악성 앱 설치를 유도한다. 그 후 다시 공공기관을 사칭하는 사람들에게 전화가 걸려오거나 하는 등의 행위로 결과적으로는 금전적 피해가 발생하게 된다. 이러한 스미싱 역시 해당 문자만으로는 어떠한 악성행위도 하지 않기 때문에 모바일 백신에서는 탐지할 수 없다. 다만, 악성 앱을 내려 받는다면 그 과정에서는 탐지가 가능하다.
ESRC는 최근 스미싱 형태가 다양해지고 정교해지면서 사용자들의 피해도 점점 증가하고 있는 추세라면서, 악성 앱을 통한 해킹 공격이 아닌 사회공학적 기법을 이용한 공격이 증가하면서 모바일 백신만으로 피싱 피해를 막기가 점점 어려워지고 있다고 강조했다. 아울러 반드시 다음 사항들을 숙지해 안전한 모바일 사용을 해야 한다고 조언했다.
1. 금융사들은 절대로 먼저 대출 안내 문자/전화를 하지 않는다.
2. 고객센터에서는 절대로 카톡, 문자 등을 통하여 앱을 내려주지 않는다(안드로이드 사용자들은 공식 구글플레이를 통해서만 앱을 내려 받아야 한다).
3. 고객센터에서는 절대로 과도한 개인정보(아이디, 계정비밀번호, 계좌비밀번호 등)를 물어보지 않는다.
4. 모바일 페이지로 접속했다면 반드시 먼저 URL을 확인해야 한다.
5. 반드시 알약M과 같은 모바일 백신을 설치해야 한다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 민족 대명절 추석이 다가오면서 이를 악용한 사이버공격이 기승을 부리고 있다. 문제는 이러한 공격에 부모님을 비롯해 IT에 관심이 없는 사람들은 쉽게 피해를 볼 수 있다는 사실이다. 특히, 누구나 사용하는 문자메시지를 이용한 ‘스미싱(Smishing)’ 공격으로 가장 많은 피해를 입고 있다. 스미싱은 문자메시지(SMS)와 피싱(Phishing)의 합성어로 문자메시지에 URL로 악성코드를 설치해 소액결제나 사용자 정보를 탈취하는 사이버 공격이다.
[이미지=utoimage]
이스트시큐리티 시큐리티대응센터(ESRC)는 스미싱 문자는 오래전부터 지속적으로 유포되어 왔으며, 시간이 지날수록 그 수법도 점점 기발해지고 있다면서 스미싱 문자의 공격유형에 대해 정리했다.
△악성 앱을 내려주는 링크가 포함된 스미싱
▲악성 앱 다운로드 링크가 포함된 스미싱[자료=ESRC]
가장 고전적인 형태로, 사용자를 현혹하는 문구와 함께 악성 앱을 내려주는 링크가 문자 내에 포함되어 있다. 이러한 스미싱의 경우, 문자에 포함되어 있는 링크에서 직접 앱을 내려주기 때문에 보안시스템을 통해 쉽게 탐지가 가능하다.
△피싱 페이지로 유도하는 스미싱
▲긴급재난지원금 조회 페이지를 위장한 스미싱[자료=ESRC]
고전적인 스미싱의 형태에서 조금 발전한 형태다. 직접 악성 앱을 내려주는 경우, 보안시스템을 통해 쉽게 탐지가 가능해지면서, 보안시스템을 우회하기 위해 새로 등장한 방식이다. 사용자가 스미싱 문자에 포함되어 있는 링크를 클릭하면, 공격자가 만들어 놓은 피싱 페이지로 이동한다. 피싱 페이지에서 기본적인 개인정보 입력을 통해 개인정보를 유출하며, 때로는 개인정보 입력 후 악성 앱을 내려 받는 단계가 추가로 존재하기도 한다. 이러한 피싱 페이지는 정교하게 제작되었기 때문에 사용자들이 쉽게 속을 수 있다. 다만, 악성 앱을 내려 받을 경우 모바일 백신에서 탐지할 수 있다.
△카카오톡 채널/친구추가 스미싱
▲카카오톡 친구추가를 유도하는 스미싱[자료=ESRC]
이러한 스미싱의 경우 사용자를 현혹하는 문구와 함께 링크가 포함되어 있다. 스미싱 문자 안의 링크를 클릭하면 악성 앱이 내려오는 대신, 실제 카카오톡 채널추가 혹은 카카오톡 친구추가 페이지로 넘어간다. 이렇게 추가한 카카오톡 채널 혹은 친구는 공기업, 택배기사 등을 위장하고 있으며, 이러한 방식을 이용해 채널의 친구수를 늘리고 주식 리딩방이나 원래 목적의 홍보성 채널로 변경하거나, 채팅을 통해 추가 정보 유출을 시도할 가능성이 있다. 이러한 방식의 스미싱의 경우, 악성 앱을 내려주거나 따로 피싱페이지가 존재하는 것이 아니기 때문에 모바일 백신에서는 탐지를 할 수 없다.
△사용자의 추가 행동을 유도하는 스미싱
▲금융사를 위장해 저금리 대출을 안내하는 스미싱[자료=ESRC]
이전부터 꾸준히 발송되어 오던 스미싱 문자로, 해외 혹은 국내에서 수신자 카드로 무단으로 결제된 문구, 금융기관을 사칭해 저금리 대출가능 등의 문구로 사용자들을 현혹한다. 이러한 문자의 경우 제일 하단에 고객센터, 소비자보호원, 문의 등의 문구와 함께 전화번호가 안내되어 있어 사용자들의 문의 전화를 유도한다. 만약 사용자가 스미싱 문자 내 번호로 전화를 하면, 질문을 통해 개인정보를 유출하며, 개인정보가 도용되었다며 대신 신고를 해준다고 유도하거나 금융 앱 설치가 필요하다며 악성 앱 설치를 유도한다. 그 후 다시 공공기관을 사칭하는 사람들에게 전화가 걸려오거나 하는 등의 행위로 결과적으로는 금전적 피해가 발생하게 된다. 이러한 스미싱 역시 해당 문자만으로는 어떠한 악성행위도 하지 않기 때문에 모바일 백신에서는 탐지할 수 없다. 다만, 악성 앱을 내려 받는다면 그 과정에서는 탐지가 가능하다.
ESRC는 최근 스미싱 형태가 다양해지고 정교해지면서 사용자들의 피해도 점점 증가하고 있는 추세라면서, 악성 앱을 통한 해킹 공격이 아닌 사회공학적 기법을 이용한 공격이 증가하면서 모바일 백신만으로 피싱 피해를 막기가 점점 어려워지고 있다고 강조했다. 아울러 반드시 다음 사항들을 숙지해 안전한 모바일 사용을 해야 한다고 조언했다.
1. 금융사들은 절대로 먼저 대출 안내 문자/전화를 하지 않는다.
2. 고객센터에서는 절대로 카톡, 문자 등을 통하여 앱을 내려주지 않는다(안드로이드 사용자들은 공식 구글플레이를 통해서만 앱을 내려 받아야 한다).
3. 고객센터에서는 절대로 과도한 개인정보(아이디, 계정비밀번호, 계좌비밀번호 등)를 물어보지 않는다.
4. 모바일 페이지로 접속했다면 반드시 먼저 URL을 확인해야 한다.
5. 반드시 알약M과 같은 모바일 백신을 설치해야 한다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
