#택배 사칭 #스미싱 #이스트시큐리티 #문자 메시지 #인터넷 사기

지난해 12월 이어 올해 1월도 택배 사칭하는 키워드 스미싱에 가장 많이 악용

대부분 스미싱 여부 쉽게 인지 가능...URL 누르지 않는 것만으로도 피해 예방할 수 있어

[보안뉴스 이상우 기자] 올해 1월에도 택배 배송을 사칭한 스미싱 공격이 가장 활발하게 이뤄진 것으로 나타났다. 코로나19 확산으로 인해 온라인 쇼핑몰 이용이 늘어남에 따라 이를 악용하는 사이버 공격 역시 급증한 것으로 보인다.

▲스미싱 키워드 별 비율[자료=이스트시큐리티]

이스트시큐리티에 따르면 2021년 1월, 택배 사칭 스미싱 키워드는 전체 스미싱 유형 중 99.74%를 차지했으며, 이밖에 건강검진(0.11%), 금융기관(0.08%), 수사기관(0.04%), 청첩장(0.01%) 등이 뒤를 이었다. 참고로 지난해 12월 역시 택배와 관련한 키워드로 펼쳐진 스미싱 공격이 98.33%에 이르는 등 이를 악용한 공격이 꾸준히 시도되고 있다.

△택배 사칭 스미싱

지난달 발견된 택배 사칭 스미싱 내용 중 절반 가량(45%)은 ‘구매하신 선물은 CJ 익스프레스로 배송됩니다 배송 시간은 다음과 같습니다 hxxps://shorturl[.]at/xxxxx’와 같은 문구를 사용했으며, 이밖에 발견된 스미싱 문구 역시 해당 내용을 일부 변경해 지속 유포됐다. 메시지 내용은 마침표나 가운뎃점 등 불필요한 문장부호가 쓰였으며, 이는 특정 키워드를 중심으로 스팸을 차단하는 기능을 우회하기 위한 목적으로 보인다. 이러한 어색한 문구 때문에 사용자는 스미싱 메시지임을 쉽게 파악할 수 있다.

▲택배 스미싱[자료=이스트시큐리티]

△건강검진 사칭 스미싱

건강검진과 관련 스미싱 문자 메시지 중에는 ‘[Web발신] 국 민 건 강 통 지. 내 용 확인 해주세요~ bitly[.]kr/xxxxxxxx’와 같은 문구가 가장 많이 쓰였으며, 전반적으로 내용이 비슷하다. 건강검진 관련 스미싱은 해마다 당해 대상자의 국가건강검진 기간이 종료되는 12월 말에 기승을 부리며, 이후에는 검진결과 통지 등으로 위장하는 추세다. 공격자는 무료로 시행하는 건강 검진과 관련한 내용으로 위장해 피해자를 속이고 악성 앱 설치를 유도한다.

▲건강 검진 스미싱[자료=이스트시큐리티]

△금융기관 사칭 스미싱

금융기관 사칭 스미싱 중 가장 많이 발견된 문자 메시지는 ‘OOO hxxp://154.xxx.xxx[.]xxx/kbcapta10/’로, 문자 메시지에는 피해자 이름(OOO)과 IP 주소만 포함돼 있다. 사용자는 자신의 이름이 들어있기 때문에 스미싱인지 쉽게 파악하기 어려우며, 내용을 궁금해 하며 URL(IP 주소)를 누를 수 있다. 하지만 해당 주소에서는 악성 앱 설치를 유도해며, 앱 실행 시 대출관련 내용으로 꾸민 가짜 금융기관 앱이 실행된다. 대출을 고려하고 있는 사용자가 해당 문자 메시지를 받았다면 피해를 입을 가능성이 크다.

▲금융기관 사칭 스미싱[자료=이스트시큐리티]

△수사기관 사칭 스미싱

수사기관 사칭 스미싱은 ‘[Web발신][경찰청교통민원24]1월27일교통법규 위반사실 통지 및 과태료부과 (사전통지서): xxxxx.xxxxx[.]net’ 등처럼 과태료 고지와 관련한 내용이 많았다. 운전자라면 자신도 모르게 신호 위반이나 과속 등 교통 법규를 위반했을 수도 있다는 생각에 무심코 URL을 누를 가능성도 있어 주의가 필요하다. 이스트시큐리티는 이러한 문자 메시지를 받으시면 URL이 아닌 경찰청 교통 민원 사이트에서 범칙금을 조회하는 것이 좋다고 설명했다.

▲수사기관 사칭 스미싱[자료=이스트시큐리티]

△청첩장 사칭 스미싱

청첩장 스미싱의 경우 ‘[Web발신] ♡귀한 발걸음으로 축복해 주세요. ♡ 2018.6.23 hxxps://bit[.]ly/xxxxx’ 같은 문구가 주로 쓰였으며, 날짜가 몇 해 전인 것으로 미루어 청첩장 스미싱에 감염된 스마트폰에서 자동 발송된 것으로 보인다.

이러한 스미싱 공격에 당하지 않기 위해서는 △신뢰할 수 있는 모바일 백신 프로그램을 설치하고, 정기적으로 검사 수행하기 △출처가 불분명한 경로를 통한 APK 앱 설치 금지 △의심스러운 내용의 문자 메시지에 포함된 URL은 절대로 클릭하지 않기 등 보안수칙을 철저히 준수해야 한다.

[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

-----------------------------------------------------------------------------------------------

느낀 점 : 스미싱이 무엇인지는 알고 있었어도 다양한 종류에 대해서는 제대로 알고 있지 못했다. 이 기사를 통해 여러 스미싱 공격들과 예방법까지 알 수 있었다. 원래도 모든 문자들을 믿지 못했지만 더 조심해야 할 필요가 있으며, 피해자들이 생기지 않도록 일반인들도 쉽게 이게 스미싱임을 알 수 있게 하는 보안 기술들이 많아졌으면 좋겠다고 생각했다. 적어도 지금 나는 보안을 공부하고 있기 때문에, 이런 공격을 쉽게 당하지 않게 더 다양한 시각을 가지고 대응할 수 있는 사람이 되도록 노력해야겠다.