* 출처는 안랩입니다.
스마트폰은 일상생활에서 필수적인 툴로 자리잡았다. 이에 따라, 모바일 악성 범죄가 지속적으로 증가하고 있다. 이 중에서도 스미싱(Smishing)은 문자 메시지를 이용해 피싱 페이지나 악성 앱 다운로드 URL을 유포하며, 개인정보 탈취, 인증 남용, 섹스토션(Sextortion) 등 다양한 범죄의 주요 수단으로 부상하고 있다. 이번 글에서는 안랩 모바일 분석팀이 조사한 사회공학적 스미싱 유형을 살펴보고, 스미싱 피해를 예방하는 방법을 구체적으로 살펴본다.
올 한 해 수집된 스미싱 메시지의 주요 사례는 [표 1]과 같다. 공격자는 악성 앱을 통한 계정 탈취, 피해자 모니터링, 스미싱 메시지 재유포 등 다양한 기술적 범죄를 시도한다.
[표 1] 2024년 수집된 스미싱 유형
악성 앱으로는 피싱 사이트를 이용할 수 있는 기능과 알림 기능만 탑재한 웹 앱과 실제 악성 행위를 수행하는 악성 앱이 있으며, 악성 행위를 하는 대표적인 앱으로는 C2서버를 통한 SMS 2FA 인증을 목표로 하는 SMS스틸러(SMSstealer)를 통해 금전을 요구하는 인포스틸러(Infostealer)가 있다. SMS스틸러는 주로 경조사나 공공기관을 사칭하고, 인포스틸러는 SNS를 사칭하거나 섹스토션의 수단으로 사용되는 경우가 많다.
대표적인 스미싱 유형
1. 공공기관 서비스 사칭
스미싱 중에서도 보편적으로 알려진 공공기관이나 정부를 사칭한 사례가 가장 많다. 특히 건강보험공단이나 정부 사칭 메시지는 악성 앱 설치를 유도하는 경우가 많다. 우체국 사칭의 경우, 미배송 또는 해외 배송을 가장한 가짜 우체국 페이지를 통해 개인정보를 탈취한다.
[그림 1] 공공기관 서비스를 사칭하는 피싱 사이트
2. 소셜미디어(SNS) 플랫폼 사칭
SNS 계정 정지 경고와 같이 플랫폼 관련 사칭 메시지를 통해 피해자 계정을 탈취하는 사례도 있다. 텔레그램(Telegram)이 가장 대표적인 플랫폼으로, 공격자는 재로그인 요청, 정책 위반 등의 명목으로 스미싱 메시지를 전송한다. 사용자가 입력한 인증 코드가 C2서버로 전송되면, 공격자는 해당 텔레그램 계정으로 자동 접속해 로그인 기기 연동을 해지하고, 사용자의 텔레그램 사용을 차단한다.
[그림 2] 텔레그램 피싱 페이지 스미싱 메시지
[그림 3] 공식 텔레그램 공식 사이트(좌), 피싱 사이트(우) 비교
3. 투자 관련 사칭
코인이나 주식 투자를 명목으로 클릭을 유도하는 스미싱은 주로 젊은 층을 대상으로 한다. 이런 투자 사기에는 관련 기업의 고객센터 직원이나 참여자 사칭(일명 바람잡이) 등의 인력이 투입되며, SNS와 기업용 상담 플랫폼 등을 적극적으로 활용한다.
[그림 4] 코인 소각 내용을 통한 코인 수수료 스캠
최근에는 메시지만 유포할 경우 피해자가 경계심을 가지게 되므로, 전략을 변경하여 [그림 5]과 같이 실수를 통한 우연한 만남이나 SNS에서 공격자가 유포한 게시글에 “좋아요” 등을 계기로 메신저 앱을 통해 친분을 쌓는다.
[그림 5] 잘못 보낸 메시지 또는 SNS의 ‘좋아요’를 명목으로 친분을 쌓는 투자 스캠
이후 공격자는 “우리 둘만 알고 있는 정보”라며 주식 및 코인 차트 조작 사이트의 웹 앱 설치 또는 스캠 투자방에 사용자를 초대하고, 기대감이 높은 종목이라 소개하며 금전 이체를 유도한다.
[그림 6] 채팅을 통한 특정 종목 투자 권유
4. 경조사 사칭
[그림 1]과 같이 경조사를 사칭한 스미싱도 악성 앱을 설치하는 수단으로 대거 유포되고 있다. 이 유형은 보안에 상대적으로 덜 민감한 중노년층을 표적으로 삼으며, 악성 앱 설치를 목적으로 한다. 메시지 내용에는 구체적인 지인 또는 가족의 이름이 포함될 수 있으며, 자극적인 내용을 포함해 즉각적인 클릭을 유도한다.
[그림 4] 스미싱 메시지 내용
[그림 5] 경조사를 사칭하는 스미싱 메시지 내 피싱 사이트
5. 성적 만남 사칭
이 외에, 메시지나 SNS를 통해 성적 만남을 제안하는 수법도 널리 사용되고 있다. 이들은 피해자와 메신저 앱을 통해 음란한 대화를 주고받는 과정에서 악성 앱 설치를 유도한다.
* 전체내용은 아래에서 확인하세요.
https://www.ahnlab.com/ko/contents/content-center/35742