공공기관 사칭 문자로 PASS 유사 피싱 사이트 접속 유도...개인정보 탈취
추가 보이스피싱·악성앱 설치 우려...”출처 불명 URL 절대 클릭 금지”

[보안뉴스 여이레 기자] 최근 패스(PASS) 앱을 모방한 피싱 시도가 증가하고 있어 주의가 필요하다.


[자료: 누리랩]

28일 누리랩 AI 기반 안티 피싱 솔루션 ‘에스크유알엘’(AskURL) 분석 결과, 공공기관을 사칭한 문자 메시지를 보내고 패스 앱 인증 화면과 유사하게 제작된 피싱 사이트로 이용자를 접속하게 하는 방법으로 개인 정보를 탈취하는 피싱 행위가 지속적으로 탐지되고 있다.

패스 앱은 국내 이동통신 3사가 공동으로 제공하는 서비스로, 일상의 다양한 인증 서비스에 이용된다. 피싱 범죄자들은 이용자 신뢰도가 높은 패스 인증 화면과 유사한 악성 사이트를 생성해 피싱 범죄를 시도하고 있다.

피싱 범죄자들은 경찰청 범칙금 고지서, 건강보험 체납 안내서, 국민연금 인정 통지서 등의 위장 문자 메시지를 이용자에게 발송하고 이용자를 피싱 URL에 접속하게 유도한다.

피싱 URL에 연결된 피싱 사이트는 공식 패스 앱 인증 화면과 매우 유사하게 제작돼 있어 이용자들은 의심 없이 이름, 주민등록번호, 휴대폰 번호 등을 입력하게 되고 입력된 개인 정보가 피싱 범죄에 이용되고 있다.

특히 패스 앱 사칭 피싱은 개인 정보 유출뿐 아니라 보이스 피싱, 스마트폰에 저장된 사진 및 동영상 등 개인 자료 유출, 악성 앱 설치를 통한 원격 조작 등 추가 피싱 범죄 피해로 이어질 가능성도 높다.

김지훈 누리랩 엑스엔진센터장은 “피싱 범죄자들은 패스 앱과 같이 이용자들 사이에서 신뢰도가 높은 서비스를 집중적으로 활용해 피싱 범죄를 시도한다”며 “이용자들은 평소에 자주 사용하는 인증 서비스일지라도 본인 인증과 같은 중요한 작업은 반드시 공식 앱 또는 공식 사이트를 통해서 진행해야 한다”고 강조했다.

이어 “출처가 불문명한 문자 메시지 내에 포함된 URL은 절대로 클릭하지 말고 스마트폰에 피싱 차단 기능이 탑재된 백신 앱을 설치하는 것도 좋다”며 “수신된 문자 메시지 중 URL이 포함되어 있고 해당 URL 접속이 필요한 경우라면 에스크유알엘을 활용해 URL을 검사해 보는 것이 피싱 피해를 막는 최선의 방법”이라고 말했다.

[여이레 기자(gore@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>