[그게 뭔가요] 연말 기승 부리는 모바일 피싱-4가지 유형 총 정리

By홍하나

띵동.

“아버지께서 금일 별세하셨기에 삼가 알려드립니다. 장례식장 주소 (링크 첨부)”

갑작스레 아는 지인 혹은 모르는 번호로 날아온 문자. 상을 당했다는 내용과 함께 장례식장 주소가 담긴 인터넷주소(URL)가 첨부됐다. 그러나 의심하지 않고 URL을 누르면, 나도 모르는 사이 스마트폰이 악성 바이러스에 감염되어 일명 좀비폰으로 변한다. 해커는 사용자 스마트폰에 담긴 각종 데이터를 탈취해 이를 협박하는데 사용할 수 있다. 

이밖에도 문자를 통해 악성 앱 설치를 유도하거나 큐알(QR)코드 결제를 유도하는 경우가 있다. 실행하게 된다면 스마트폰이 악성 바이러스에 감염된다. 이메일을 통한 악성파일 유포도 마찬가지다. 주로 공공기관이나 회사 등을 사칭, 악성파일을 다운받도록 유도하는 방식이다. 

연말을 틈 타 모바일 피싱이 기승을 부리는 가운데, 그 수법은 점점 고도화되고 있다. 과거부터 최근까지 경조사 문화를 악용한 피싱 기법 등이 여전히 쓰이고 있다. 공통적으로 해커가 사용자의 스마트폰에 있는 데이터를 갈취하는 피해가 발생한다. 이 경우 금전적인 피해로 이어질 수 있다. 

최근 성행하고 있는 모바일 피싱 기법 네 가지와 대처 방안을 정리해봤다. 

URL을 활용한 스미싱

문자 메시지를 이용한 스마트폰 해킹의 대표적인 기법 중 하나가 URL을 첨부한 문자 전송이다. 해커는 탈취한 고객의 전화번호로 불특정 다수에게 URL이 삽입된 문자를 전송한다. 이때 유형은 부고, 결혼식, 택배 알림 등 다양하다. 주로 사람들이 관심을 가질만한 내용을 넣어 URL 클릭을 유도하는 것이 특징이다. 문자 외에도 메신저로도 악성 URL을 보내는 사례가 있다.

스미싱 유형 (출처=KISA)

만약 사용자가 URL을 클릭하게 된다면 스마트폰은 해커가 심어놓은 바이러스에 감염된다. 해커는 사용자의 스마트폰에 저장된 데이터를 탈취할 수 있다. 나아가서 스마트폰의 사용자 권한을 빼앗을 수 있다. 물론, 이때 사용자에게 지문인증, 잠금화면 등의 권한에 대한 동의 안내가 간다. 만약 동의할 경우 스마트폰 사용자 권한까지 넘어가게 된다. 

이 경우 해커는 사용자의 전화연결을 중간에서 가로챌 수 있다. 예를 들어, 금융감독원을 사칭해 문자를 보낸다고 가정하면 사용자가 인터넷 검색을 통해 금감원의 전화번호로 전화를 걸어도 해커가 중간에 전화를 가로채 직접 통화를 하며 사칭할 수 있다. 

이때 악성 URL이 삽입된 문자가 스미싱인지 어떻게 구별할 수 있을까. 보안 전문가들은 가능한 링크를 누르지 않고, 링크의 주소를 꼼꼼하게 살펴볼 필요가 있다고 조언한다. 만약 기업을 사칭한 것이라면 문자에 있는 URL을 누르기보다 직접 해당 기업 사이트에 들어가는 것이 낫다는 이야기다. 또 URL의 주소를 해당 기업 사이트의 주소와 직접 비교해보는 것도 좋은 방법이다. 대문자와 소문자를 교묘하게 섞어놓는 경우가 있다. 이밖에 부고나 청첩장 연결 URL 등 개인적인 내용일 경우 가능하면 클릭을 하지 않고 직접 연락을 취하는 것이 낫다. 

악성앱 설치 유도를 통한 피싱

악성앱 설치 유도 또한 주로 문자를 통해 이뤄진다. 문자를 보내 해당 앱을 설치하라는 내용이다. 다만, 전문가들은 잘 알려진 앱이 아니라 기업 등 특정 소속 사람들이 알 만한 앱 설치를 유도한다고 설명한다. 회사에서 쓰는 메신저 등이다. 

이는 해커가 회사의 내부망에 침투해 회사에서 사용하는 서비스를 파악, 직원들의 개인정보를 탈취해 문자를 보내는 방식이다. 이때 문자는 해커가 만든 악성 앱 설치를 유도하는 내용이다. 예를 들어, 이 회사에서 쓰는 메신저가 A앱이라고 가정하면, A앱의 업데이트를 해야 한다며 URL을 통해 앱을 다운로드하게 하는 방식이다. 

마찬가지로, 해당 앱을 다운로드하면 스마트폰은 바이러스에 감염된다. 이를 통해 해커는 사용자의 개인정보를 탈취, 이를 담보로 금전 등을 요구할 수 있다. 사용자의 사적인 데이터 등을 지인에게 보내겠다고 협박하는 것이 해커들의 전형적인 수법이다. 

보안 전문가들은 스마트폰에 악성 앱이 설치 됐는지 알아보기 위해선 모바일 백신을 설치하는 것을 권유한다. 모바일 백신이 악성 앱 설치여부를 진단한다. 특정 통신사를 쓸 경우 스마트폰에 모바일 백신이 설치가 되어 있는 곳도 있다. 만약 악성 앱이 설치가 됐다면 삭제 시 문제가 해결된다는 것이 전문가들의 의견이다. 

큐알코드 피싱(큐싱)

줄여서 ‘큐싱’이라고도 불리는 큐알코드 피싱은 실물 큐알코드에 악성코드를 심어 사용자가 큐알코드를 스캔하면 악성 프로그램을 다운받도록 유도하는 공격 방법이다. 올해 피싱과 큐싱을 포함한 범죄가 국내에서 전체 공격의 17%를 차지할 정도로 성행하고 있다. 특히 코로나19로 비대면 결제가 대중화되면서 이러한 공격이 활개를 치고 있다. 

마찬가지로 큐알코드 피싱은 URL이나 이메일 등을 통해 이뤄질 수 있다. 해커가 보낸 URL이나 이메일에는 해커가 악성코드를 심어놓은 큐알코드가 삽입되어 있다. 사용자가 PC나 태블릿 등으로 큐알코드를 켜놓고 스마트폰으로 이를 스캔하면 스마트폰이 바이러스에 감염된다. 

보안 전문가들은 앞의 사례처럼 되도록 경계를 해야 한다고 입을 모은다. 가능하면 모르는 번호나 아는 번호이더라도 문자로 오는 URL을 눌러선 안된다고 강조한다. 

이메일을 활용한 피싱

이메일을 활용한 피싱은 꽤 오랜 시간부터 성행해온 공격 기법이다. 해커는 불특정다수에게 급여이체확인증, 이력서, 사이버수사팀 수사관 사칭 등을 하며 악성파일이 첨부된 메일을 보낸다. 

국내 은행의 급여이제확인증으로 위장한 피싱 메일 (출처=이스트시큐리티 알약 블로그)

최근 해커들이 주로 첨부하는 파일 유형은 과거에는 워드나 한글파일이었다면 최근엔 CHM 파일을 악용한다. 보안 전문가들은 오히려 이 점이 피싱 여부를 알 수 있는 대목이라고 강조했다. CHM 파일이면 공격을 의심해볼만하다는 이야기다. 

CHM 파일을 누르면 특정 회사나 사이트의 로그인 페이지로 이동하는 경우도 있다. 이때 사용자가 아이디, 비밀번호를 입력하게 되면 이 정보 또한 해커의 손에 넘어가게 된다. 

또 LNK 파일일 경우에도 의심할 필요가 있다. 예를 들어, 이메일에 파워포인트나 엑셀 등이 첨부가 됐는데 확장자가 LNK일 경우 해커의 공격일 가능성이 높다. ‘ppt.lnk’와 같은 경우다. 만약 CHM 파일이나 LNK 파일을 다운로드한다면 정상적으로 파일이 열릴 수 있지만, 이 경우 악성코드 감염이 이뤄진다. 

곳곳에 노출된 피싱 위협…‘경각심’ 필수 

전문가들은 스마트폰에 모바일 백신을 설치하는 것을 권유한다. 기본적으로 모바일 백신은 악성 앱 설치 여부를 가려낼 수 있고, 스마트폰이 바이러스에 감염됐는지 여부를 알 수 있기 때문이다. 또 출처가 명확하지 않은 문자 등의 URL을 클릭하지 않고, 지인으로부터 온 문자나 메시지라고 하더라도 주의해야 한다고 당부했다. 

한 보안 전문가는 “큐알피싱, 이메일, 스미싱 등은 모두 URL 클릭을 통한 감염이라는 점에서 공통적”이라며 “출처가 불분명한 URL이나 앱 등은 다운받지 말고 모바일 백신을 설치해야 한다”고 말했다.  

글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network

작은 것이라도 지나치지 않겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다