유명 포털 온라인 카페 사칭 스미싱 확산

[김국배기자] 유명 포털사이트의 카페 알림을 사칭한 스미싱 공격이 확산되고 있어 이용자 주의가 요구된다.

안랩(대표 권치중)은 특정 포털 온라인 카페의 답글 등록 알림을 사칭한 스미싱 사례가 하루(2월16~17일) 사이에 266건이 접수되며 확산 추세를 보이고 있다고 18일 밝혔다.

이 수치는 안랩의 스미싱 예방 애플리케이션 '안전한 문자'가 문구 수집에 동의한 사용자를 대상으로 집계한 것으로 접수에 동의하지 않은 사용자 건까지 포함하면 더 많을 것으로 안랩 측은 보고 있다.

이 스미싱 문자는 '[D***]고객님 명의로 카페에 답글 1개가 등록되었습니다. m****.pw 확인하시기바랍니다.”', '[D***]고객님 명의로 카페에 답글 등록되었습니다. fil****.pw 확인하시기바랍니다.' 등 실제 푸시 알림과 유사한 유형의 문구로 클릭을 유도하고 있다.

사용자가 스미싱 문자 내 URL을 실행해 해당 앱을 설치하면 유명 포털의 로고를 사칭한 아이콘이 바탕화면에 생성된다. 이 악성 앱은 ▲금융정보를 요구하는 가짜 은행 앱 설치 유도 ▲수신 전화 차단 ▲주소록과 수신 문자메시지(SMS)를 공격자에게 유출하는 기능을 갖고 있다.

특히 이번 악성 앱은 최초 실행 시 관리자 권한을 요구해 사용자가 이를 허용하면 자신을 삭제하지 못하도록 보호함과 동시에 바탕화면에 생성돼 있던 아이콘을 삭제해 사용자가 앱이 설치된 것을 알지 못하도록 한다.

또한 공격자가 명령 제어 서버(C&C)를 통해 가짜 은행 앱 설치, 수신전화 차단, 주소록·SMS 정보 유출 등 악성 기능을 원격에서 실행할 수 있다. 동일한 악성 기능을 문자 전송으로도 실행할 수 있는데, 이는 C&C 서버가 차단됐을 경우를 대비한 것으로 추정된다.

안랩 이호웅 시큐리티대응센터장은 "최근 스미싱이 유명 사업자의 이름을 사칭하거나 호기심을 자극하는 사회공학적 방법을 이용하는 등 더욱 교묘해지고 있다"며 "사용자 개개인의 각별한 주의가 필요하다"고 말했다.