스미싱 범죄의 온상, 스마트폰 보안을 지키는 방법은?
스마트폰은 일상생활에서 필수적인 툴로 자리잡았다. 이에 따라, 모바일 악성 범죄가 지속적으로 증가하고 있다. 이 중에서도 스미싱(Smishing)은 문자 메시지를 이용해 피싱 페이지나 악성 앱 다운로드 URL을 유포하며, 개인정보 탈취, 인증 남용, 섹스토션(Sextortion) 등 다양한 범죄의 주요 수단으로 부상하고 있다. 이번 글에서는 안랩 모바일 분석팀이 조사한 사회공학적 스미싱 유형을 살펴보고, 스미싱 피해를 예방하는 방법을 구체적으로 살펴본다.
올 한 해 수집된 스미싱 메시지의 주요 사례는 [표 1]과 같다. 공격자는 악성 앱을 통한 계정 탈취, 피해자 모니터링, 스미싱 메시지 재유포 등 다양한 기술적 범죄를 시도한다.
[표 1] 2024년 수집된 스미싱 유형
악성 앱으로는 피싱 사이트를 이용할 수 있는 기능과 알림 기능만 탑재한 웹 앱과 실제 악성 행위를 수행하는 악성 앱이 있으며, 악성 행위를 하는 대표적인 앱으로는 C2서버를 통한 SMS 2FA 인증을 목표로 하는 SMS스틸러(SMSstealer)와 몸캠 피싱을 통해 금전을 요구하는 인포스틸러(Infostealer)가 있다. SMS스틸러는 주로 경조사나 공공기관을 사칭하고, 인포스틸러는 SNS를 사칭하거나 섹스토션의 수단으로 사용되는 경우가 많다.
대표적인 스미싱 유형
1. 공공기관 서비스 사칭
스미싱 중에서도 보편적으로 알려진 공공기관이나 정부를 사칭한 사례가 가장 많다. 특히 건강보험공단이나 정부 사칭 메시지는 악성 앱 설치를 유도하는 경우가 많다. 우체국 사칭의 경우, 미배송 또는 해외 배송을 가장한 가짜 우체국 페이지를 통해 개인정보를 탈취한다.
[그림 1] 공공기관 서비스를 사칭하는 피싱 사이트
2. 소셜미디어(SNS) 플랫폼 사칭
SNS 계정 정지 경고와 같이 플랫폼 관련 사칭 메시지를 통해 피해자 계정을 탈취하는 사례도 있다. 텔레그램(Telegram)이 가장 대표적인 플랫폼으로, 공격자는 재로그인 요청, 정책 위반 등의 명목으로 스미싱 메시지를 전송한다. 사용자가 입력한 인증 코드가 C2서버로 전송되면, 공격자는 해당 텔레그램 계정으로 자동 접속해 로그인 기기 연동을 해지하고, 사용자의 텔레그램 사용을 차단한다.
[그림 2] 텔레그램 피싱 페이지 스미싱 메시지
[그림 3] 공식 텔레그램 공식 사이트(좌), 피싱 사이트(우) 비교
3. 투자 관련 사칭
코인이나 주식 투자를 명목으로 클릭을 유도하는 스미싱은 주로 젊은 층을 대상으로 한다. 이런 투자 사기에는 관련 기업의 고객센터 직원이나 참여자 사칭(일명 바람잡이) 등의 인력이 투입되며, SNS와 기업용 상담 플랫폼 등을 적극적으로 활용한다.
[그림 4] 코인 소각 내용을 통한 코인 수수료 스캠
최근에는 메시지만 유포할 경우 피해자가 경계심을 가지게 되므로, 전략을 변경하여 [그림 5]과 같이 실수를 통한 우연한 만남이나 SNS에서 공격자가 유포한 게시글에 “좋아요” 등을 계기로 메신저 앱을 통해 친분을 쌓는다.
[그림 5] 잘못 보낸 메시지 또는 SNS의 ‘좋아요’를 명목으로 친분을 쌓는 투자 스캠
이후 공격자는 “우리 둘만 알고 있는 정보”라며 주식 및 코인 차트 조작 사이트의 웹 앱 설치 또는 스캠 투자방에 사용자를 초대하고, 기대감이 높은 종목이라 소개하며 금전 이체를 유도한다.
[그림 6] 채팅을 통한 특정 종목 투자 권유
4. 경조사 사칭
[그림 1]과 같이 경조사를 사칭한 스미싱도 악성 앱을 설치하는 수단으로 대거 유포되고 있다. 이 유형은 보안에 상대적으로 덜 민감한 중노년층을 표적으로 삼으며, 악성 앱 설치를 목적으로 한다. 메시지 내용에는 구체적인 지인 또는 가족의 이름이 포함될 수 있으며, 자극적인 내용을 포함해 즉각적인 클릭을 유도한다.
[그림 4] 스미싱 메시지 내용
[그림 5] 경조사를 사칭하는 스미싱 메시지 내 피싱 사이트
5. 성적 만남 사칭
이 외에, 메시지나 SNS를 통해 성적 만남을 제안하는 수법도 널리 사용되고 있다. 이들은 피해자와 메신저 앱을 통해 음란한 대화를 주고받는 과정에서 악성 앱 설치를 유도한다.
스미싱 예방 대책
스미싱 위협을 예방하는 방법을 정리하면 다음과 같다.
1) 플랫폼 계정 OTP 및 MFA 인증 활성화: SMS스틸러는 SMS 인증을 통한 계정 가입 및 탈취가 목표이다. 따라서 SMS를 제외한 다른 인증을 추가하거나, OTP 앱을 통해서 인증하는 것이 안전하다.
2) 대중적인 브랜드 앱 사용: 주식 및 코인 관련 스미싱에서 설치되는 웹 앱은 유명 거래소 브랜드를사칭할 경우 사용자가 설치했거나 사용한 경험으로 인해 조잡한 기능이 드러날 수 있어 가짜 거래소 브랜드명을 사용한다. 이러한 웹 앱의 연동된 사이트는 공격자가 차트를 조작하기 때문에 모르는 익명의 사람이 알려지지 않은 브랜드 거래소를 권유할 경우 설치해서는 안 된다.
3) 공식 앱 마켓을 통한 앱 설치: 파일 다운로드 형식의 설치는 악성 앱일 가능성이 매우 높다. 따라서불분명한 URL을 통해 앱을 설치하는 것은 되도록이면 지양해야 한다. 앱 마켓과 유사한 환경의 웹 페이지도 공식 마켓 앱에서 검색 후 다운로드해야 한다.
4) 메시지를 통한 URL 접속 금지: 메시지로 전송된 URL은 클릭하지 않고, 공공기관 메시지의 경우 반드시 공식 기관 홈페이지나 공식 앱 마켓에서 설치한 앱을 통해 관련 서비스의 상세 내용을 확인해야 한다.
5) 백신 앱 설치 및 최신 버전 업데이트: 스미싱 관련 악성 앱들의 경우 백신 앱 탐지를 회피하기 위해 지속적으로 변조되거나 새로운 솔루션을 적용하고 있다. 이에 대응해 국내 백신 회사들은 해당 악성 앱들을 우선적으로 수집하거나 진단할 수 있는 환경이 구축돼 있다. 따라서 AhnLab V3와 같은 국내 백신 앱을 설치하고, 이를 최신 버전으로 업데이트할 것을 권고한다.
결론
현재도 스미싱 기반 모바일 보안 위협은 지속적으로 다양화되고 있으며, 주요 특징으로는 신뢰성을 가장한 공공기관 사칭, 긴급한 상황 및 성적 문구를 활용한 접근 방식이 있다. 이러한 메시지는 사용자의 경계심을 낮추고 신속한 대응을 요구하는 상황을 만들어 사용자가 의심 없이 피싱 페이지에 접속하고 악성 앱을 설치하도록 한다.
사용자들은 이 같은 스미싱 사례를 인지하고, 출처가 불분명한 메시지나 링크를 클릭하지 않아야 한다. 출처가 불분명한 메시지나 링크를 클릭하지 않아야 하며, 웹 사이트를 통한 불확실한 앱은 설치하지 않은 것이 좋다. 또한, 앱 다운로드 시 반드시 구글 플레이 스토어나 갤럭시 스토어와 같은 공식 마켓을 사용해야 한다. 마켓 내에서도 신뢰할 수 있는 브랜드 앱 사용을 권장하며, 브랜드 앱이 아닐 경우 다운로드 수와 사용자 리뷰를 확인해 앱의 신뢰성을 검증할 필요가 있다.
이 밖에, 다크웹을 통해 유통되는 새로운 보호 솔루션을 활용해 단말기 내 기본 보안 서비스나 백신 앱 탐지를 회피하려는 시도가 증가하고 있다. 이에 대응하기 위해 국내 백신 회사는 지속적으로 모니터링 및 개선된 진단 방법을 적용하고 있다. 따라서 사용자들은 백신 앱 설치 및 최신 버전 업데이트가 필수이다.
출처 : AhnLab
