연말연시 택배 물량 급증 노린 스미싱 기승

[보안뉴스 권 준 기자] 크리스마스와 새해 대목을 맞은 선물 수요로 택배 물량이 급증하는 시기를 노린 택배 사칭 스미싱이 기승을 부리고 있는 것으로 드러났다.

택배 사칭 스미싱의 경우 ‘[Web발신][C*J대한통운] 주소정보가 불명확하여 택배배송주소가 아닌 것으로 확인합니다. 정확한 주소정보를 입력해주세요’, ‘[CJ*통*운]OOO도로 명칭이 틀렸으니 정확하게 입력해주세요’, ‘[Web발신][우정사업본부]OOO상품 주문에 주소가 없습니다 잘해주세요’ 등의 문자 내용으로 유포되고 있는 것으로 알려졌다.


[이미지=iclickart]

스미싱(Smishing)이란 문자메시지(SMS)와 피싱(Phishing)의 합성어로, 문자메시지 내의 인터넷 주소를 누르면 악성코드가 스마트폰에 설치돼 소액결제가 발생하거나 개인·금융정보를 탈취해 가는 수법을 말한다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 하반기부터 스미싱이 급증하는 추세로, 스미싱 악성 앱들의 종류도 다양해지고 있다. 이 가운데는 전 세계적으로 유포 중인 ‘xLoader’의 변종도 포함돼 있는 것으로 알려졌다.

해당 악성 앱은 최근 업데이트되어 유포되고 있으며, 26개국의 언어를 지원하도록 제작된 것으로 분석됐다. 특히, 유포방법이 스미싱을 활용하는 것으로 변경됐는데, ESRC에서 수집되는 택배 스미싱을 통해서도 악성 앱이 유입되고 있는 게 밝혀졌다.

ESRC 측은 “향후 스미싱이나 소셜네트워크를 유포방법으로 활용하는 악성 앱들이 더욱 증가할 것으로 예측된다”며, “이는 공격자 입장에서 공식 스토어나 웹사이트를 통한 유포 방법보다 상대적으로 유포가 쉬우며 관리 요소가 많지 않기 때문”이라고 밝혔다.


▲ 최근 유포되는 택배 사칭 스미싱 문자 유형[자료=ESRC]

특히, 스미싱은 개인정보·금융정보 탈취를 통해 보이스피싱 등 2차 피해로 이어질 수 있어 사전 예방이 중요하다. 스미싱 피해를 예방하기 위해서는 △스마트폰 보안 설정에서 ‘출처를 알 수 없는 앱’의 설치 제한 △통신사 고객센터를 통해 소액결제 한도 제한·차단 △백신 프로그램 설치 및 주기적 업데이트 △휴대폰 문자 수신 시 출처를 알 수 없는 인터넷 주소(URL) 클릭 금지 등의 예방수칙을 지켜야 한다. 물품 거래 시에는 판매자와 직접 만나서 거래하거나 안전거래를 이용해야 사기 피해를 예방할 수 있다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>