![[정종철] 뚜따에 진심인 형+과학자코스프레+현미경을구입했어
CPU 뚜따 교육자료ㅋㅋ](https://raptor-hw.net:42215/xe/files/thumbnails/739/203/241x165.crop.jpg "뚜따에 진심인 형+과학자코스프레+현미경을구입했어")
안랩은 머신러닝(ML) 기반으로 탐지한 피싱 문자에 대해 분석 및 대응을 수행한다. 올해 2분기 특이사항으로는 가족 또는 기관 사칭 피싱 문자를 악용한 공격이 급증한 반면, 허위 결제 사기 문자 건수는 큰 폭으로 감소했다. 또한, 모바일 청첩장으로 위장한 피싱 문자가 새롭게 탐지됐다. 이 외에, 메시지 본문에 있는 휴대폰 번호로 연락을 유도해 보이스피싱을 시도하는 방식도 많이 사용되고 있다.
이처럼 최근에는 단순히 URL을 포함한 문자를 전송하는 수준을 넘어, 특정 기관 및 이벤트를 사칭한 스미싱(Smishing)이 성행하고 있다. 스미싱도 피싱의 한 유형이다. 이번 글에서는 피싱 문자의 유형별 점유율 통계와 함께, 최신 피싱 공격 수법을 소개한다.
2023년 2분기 피싱 문자 통계
2023년 2분기 동안 수집된 피싱 문자를 분석한 결과, [그림 1]과 같이 정부 지원금 위장(41.6%), 가족 사칭(26.4%), 택배 사칭(22.9%), 기관 사칭(7.6%), 모바일 청첩장 위장(0.9%), 허위 결제 사기(0.6%) 순으로 점유율을 차지한다.
1분기 대비 증가한 피싱 문자는 정부 지원금 및 가족, 기관을 사칭한 문자로 각각 5%, 13.9%, 5.6% 증가했다. 반면, 택배 사칭, 허위 결제 사기 문자는 각각 0.9%, 24.6% 감소했다. 이 밖에, 모바일 청첩장을 사칭한 피싱 문자가 처음으로 탐지 및 집계됐다.
[그림 1] 2023년 2분기 분류 별 피싱 문자 비율
정부 지원금 위장 문자는 좋은 조건의 대출 선정을 명목 삼아 전화 또는 카카오톡 친구 추가를 유도해 보이스피싱을 시도하거나 개인정보 및 금융 정보를 탈취하는 것이 목적이다. 가족 사칭 문자는 가족 구성원으로 위장해 스마트폰이 고장 났다는 내용의 문자를 보내고 원격제어 앱 설치를 유도함으로써 개인정보를 탈취한다. 택배 사칭 문자는 배송 실패를 핑계 삼아 사용자가 피싱 사이트에 접속하거나 카카오톡 채널을 추가하고, 최종적으로 악성 앱을 설치하도록 한다. 기관 사칭 문자는 경찰청, 국민건강보험 등의 기관을 사칭해 보고서를 발송했으니 확인하라는 문자를 보내 피싱 사이트에 접속하도록 한 후, 개인정보를 탈취한다. 모바일 청첩장을 사칭한 피싱 문자는 가짜 청첩장 내 URL 클릭을 유도해 악성 앱을 설치하도록 한다. 허위 결제 사기 문자는 사용자가 고객센터로 위장한 업체에 전화하도록 유도하고, 개인정보와 금융 정보를 탈취한다.
2023년 2분기 동안 수집된 피싱 문자를 분석한 결과, [표 1]와 같이 은행(23.9%), 물류(22.9%), 기관(7.6%) 사칭 문자가 가장 큰 비중을 차지했다. 이들 산업군 모두 일상생활과 밀접하다는 공통적인 특징이 있다.
[표 1] 2023년 2분기 피싱 공격에 악용된 산업군 별 비율
추가로, 피싱 수법에 가장 많이 이용되는 수단은 [표 2]와 같이 전화(42.2%), URL(31.4%), SMS(10.9%), 카카오톡(6.1%) 순이다.
[표 2] 2023년 2분기 피싱 유도 방식 별 비율
2023년 2분기 피싱 문자 유형별 상세 정보
안랩은 올해 2분기에 수집된 피싱 문자를 분석한 결과를 바탕으로 어떤 피싱 문자가 사용됐는지에 대해 상세한 정보를 정리했다.
1. 정부 지원금 위장 문자
정부 지원금으로 위장한 문자는 [표 4]와 유사한 내용으로 발송된다. 정부 지원금 위장 문자는 정부에서 지원하는 대출 상품에 선정돼 저금리나 고정금리와 같은 좋은 조건으로 대출이 가능하다는 내용으로, 금융기관, 보증기관 등의 단어를 사용해 실제로 대출이 가능한 것처럼 사용자를 속인다. 해당 문자는 본문에 URL이 존재하지 않지만 휴대폰 번호나 카카오톡 친구 추가를 통해 연락을 유도하고 개인정보와 금융 정보 탈취를 시도한다.
[표 3] 정부 지원금 내용으로 위장한 피싱 문자 예시
2. 가족 사칭 문자
가족 사칭 피싱 문자에 대한 예시는 [표 5]와 같다. 가족 사칭 문자는 자식을 사칭해 스마트폰이 고장나 임시폰과 임시번호를 받았고, 답장해 달라는 내용으로 전송된다. 해당 번호로 답장을 하면 금융 및 개인정보를 탈취하거나, 원격제어 앱을 설치하도록 유도해 사용자 스마트폰에 직접 접속을 시도한다.
[표 4] 가족 사칭 문자 예시
3. 택배 사칭 문자
택배를 사칭한 피싱 문자의 대표적인 사례는 [표 6]과 같다. 택배 사칭 문자는 유명 택배사를 사칭해 주소지, 통관 번호 오류와 같은 문제로 인해 배달이 불가능하니 문자 내 URL을 통해 연락하라는 내용이 대부분이다. 해당 URL은 단축 URL(bit.ly/#####)로 들어오지만, 대체로 오픈 카카오톡 채널이나 [그림 2]와 같은 피싱 사이트로 연결된다. 연결된 카카오톡 채널은 대화를 통해 개인정보를 요구하거나 악성 앱 설치를 유도하고, 피싱 사이트는 조회를 위해 개인정보를 요구한다.
[표 5] 택배 사칭 문자 예시
[그림 2] 택배 사칭 피싱 사이트
4. 기관 사칭 문자
4-1. 수사기관 사칭 문자
수사기관 사칭 문자에 대한 예시는 [표 7]과 같다. 수사기관 사칭 문자에는 경찰청 교통 민원을 사칭하며 교통 부분에 대한 위반을 했기에 고지서를 발송한다는 내용이 담겨있다. 해당 문자에 있는 URL로 접속하면 [그림 2]와 같이 경찰청 교통 민원을 사칭하는 피싱 사이트로 연결되고, 문자 내용을 확인하기 위해서는 개인정보를 입력해야 한다. 사용자가 입력한 개인정보는 결국 해킹에 사용된다.
[표 6] 수사기관 사칭 문자 예시
4-2. 건강검진기관 사칭 문자
건강검진기관 사칭 문자에 대한 예시는 [표 8]과 같다. 건강검진기관 사칭 문자는 국민건강보험을 사칭해 건강검진 관련 보고서를 전송한다며, 문자 내 URL을 확인하라는 문자이다. 해당 URL을 클릭하면 국민건강보험을 사칭하는 피싱 사이트로 연결된다. 문자 내용을 확인하기 위해서는 개인정보를 입력해야 되고, 입력하는 순간 개인정보가 유출된다.
[표 7] 건강검진 기관 사칭 문자 예시
[그림 3] 건강검진 기관 사칭 피싱 사이트
4-3. 국세청 사칭 문자
국세청 사칭 문자에 대한 예시는 [표 9]와 같다. 국세청 사칭 문자는 발신자를 국세청으로 위장해 연말정산 관련 문자를 전송한다며 첨부한 URL을 확인하라는 내용이다. 해당 URL은 국세청을 사칭하는 피싱 사이트 주소이다. 해당 사이트에서 공제 대상 조회를 목적으로 개인정보를 입력하라고 유도하는데, 이때 공격자는 사용자의 개인정보를 탈취한다.
[표 8] 국세청 사칭 문자 예시
5. 모바일 청첩장 위장 문자
모바일 청첩장으로 위장한 피싱 문자의 예시는 [표 10]과 같다. 모바일 청첩장에 URL을 삽입해 사용자의 클릭을 유도한다. 해당 문자에 있는 URL을 클릭하면 “모바일초대장V_1x.2.x.57.apk”와 같은 이름의 악성 앱이 다운로드되고 휴대폰의 개인정보가 유출된다.
[표 9] 모바일 청첩장 위장 문자 예시
6. 허위 결제 사기 문자
허위 결제 사기 문자에 대한 예시는 [표 11]와 같다. 허위 결제 사기 문자는 본문에 결제, 금액, 완료와 같은 키워드와 가짜 고객센터 번호를 포함한다. 문자를 받은 사용자가 본문 내 휴대폰 번호로 연락하면 공격자는 보이스피싱을 시도한다.
[표 10] 허위 결제 사기 문자 예시
예방 및 진단 정보
스마트폰의 보급률이 급증하면서 피싱 문자는 매년 증가하고 있다. 다음 예방 수칙을 준수하면 피해를 최소화할 수 있다.
- 1. 메시지 본문에 포함된 URL을 클릭하지 않는다. 아직까지 대다수 피싱 문자는 본문에 URL을 포함하는 형태이다. 띠라서 신뢰할 수 없는 URL을 클릭하지 않는 것만으로도 피싱으로 인한 피해를 어느 정도 예방할 수 있다.
- 2. 의심스러운 문자의 발신자 번호를 인터넷에 검색한다. 대부분의 피싱 문자는 발신자 번호가 인터넷에서 정상적으로 검색이 되지 않기 때문에 인터넷 검색을 통해 예방할 수 있다.
- 3. 본문에 [국제 발신], [국외 발신]과 같은 단어가 존재한다면 피싱 문자를 의심해볼 만하다. 많은 피싱 문자가 국제 발신을 통해 발송되기 때문이다.
- 4. 카카오톡 친구 추가를 요구하거나 밴드 오픈 채팅방으로 연락하라는 내용의 문자도 피싱 문자일 확률이 높다. 메시지 본문에 URL을 첨부하는 수법은 이미 널리 알려져 공격자도 URL을 직접 전송하기 보다는 오픈 채팅방으로 유인해 악성 앱을 설치하도록 하는 수법을 많이 사용하고 있다. 따라서 오픈 채팅방으로 유도하는 문자도 주의해야 한다.
안랩의 V3 모바일 시큐리티(V3 Mobile Security)는 사용자가 모바일 악성코드, 개인정보 유출 걱정 없이 안전하고 편리한 모바일 라이프를 즐길 수 있도록 다양한 보안 기능을 제공한다. 이 중에서도 URL 검사 기능은 악성 앱 설치를 유도하는 URL을 실시간으로 모니터링 함으로써 스미싱 등으로 인한 피해를 예방한다. 또한, 원치 않거나 알 수 없는 번호 및 국제 전화 수신을 차단하는 기능도 제공한다. V3 모바일 시큐리티와 같은 스마트폰 보안 제품을 설치하고 주기적으로 업데이트하면 스마트폰을 더욱 안전하고 편리하게 사용할 수 있다.
출처 - AhnLab | 보안 이슈
