지난 3개월 간 '이것' 때문에 스미싱 당했다

등록 2023.05.02 08:21:26수정 2023.05.02 09:49:26

택배 사칭해 악성앱 유포하는 스미싱, 올해 들어 기승

가정의 달 맞아 가족이 보낸 택배 정보로 오인하지 말아야

택배 스미싱 문자(사진=이스트시큐리티 ESRC) *재판매 및 DB 금지

【서울=뉴시스】송혜리 기자 = #[Web발신][CJ대한통운] 배송물가&!:도로명불일치&앱다운로드 주소지확인 부탁드립니다

#[Web발신]**국민보험공단**신체검사 진단서 전송완료. 내용확인

올해 들어 가장 많이 사용된 스미싱 공격 주제는 '택배'와 '건강검진'인 것으로 나타났다.

특히 택배 키워드를 사용하는 스미싱 공격은 지난 1월부터 3월까지 집계된 스미싱 과반 이상을 차지했다. 택배 스미싱 문자 내 포함된 인터넷주소(URL)을 클릭해 앱을 내려받으면, 개인정보·금전 탈취가 있을 수 있어 각별한 주의가 필요하다. 특히 가정의 달 5월을 맞아 가족이 보낸 택배 문자로 오인하지 않도록 해야 한다.

가정의 달 가족이 보낸 택배 문자로 혼동하기 쉬워 주의 당부

2일 이스트시큐리티 ESRC(시큐리티대응센터)에 따르면 올해 1월부터 3월까지 택배 키워드를 사용하는 스미싱 공격이 기승을 부렸다.

ESRC가 집계한 전체 스미싱 공격 중 택배 정보 사칭은 지난 1월 65.8%, 2월 82.85%에 육박했다. 3월엔 57%로 줄었지만 여전히 가장 많은 스미싱 공격에 사용되고 있다. 지난해 12월까지 건강검진을 키워드로 하는 공격이 70%에 달했던 것과는 다른 양상이다.

택배 스미싱 문자는 '택배 도착·주소지 오류' 등의 문구로 구성돼, 수신자로 하여금 정보 확인이나 정정을 위해 포함된 URL을 클릭하도록 유도한다.

주로 ▲[Web발신][CJ대한통운]배송불가&l;도로명불일치&g;앱 다운로드 주소지확인 부탁드립니다 ▲[로젠] 송장번호(5280*********927) 주 소불일치 로물품 .보.관중입니다: ▲0000고객님의 택배가 17-19시 배송될 예정입니다 식의 내용이다.

수신자는 이같은 택배 스미싱 문자를 받게 되면 택배 회사의 문자로 오인해 공격자의 의도대로 악성 앱을 다운로드해 설치하게 된다. 설치된 악성 앱은 피해자의 정보를 탈취해 공격자에게 전달한다. 공격자는 탈취한 피해자의 개인정보를 활용해 보다 효과적인 스미싱 공격을 실행하거나 금전 탈취를 위해 피해자의 정보를 활용한다.

건강검진 스미싱도 여전히 기승…URL 클릭 시 '주의 또 주의'

택배 사칭에 이어 건강검진, 보이스피싱, 수사기관 사칭 등을 키워드로 하는 스미싱 공격이 많았다.

건강검진 스미싱 공격은 ▲[Web발신]**국민보험공단**신체검사 진단서 전송완료. 내용확인 ▲[Web발신][건강검진센터]신체검사 진단서 전송완료.내용확인 등의 내용을 담고 있다.

피해자는 건강검진과 관련된 문서를 받은 것으로 오인해 내용을 보기위해 링크를 클릭하게 된다. 하지만 다운로드 받는 것은 건강검진 관련 문서가 아닌 악성 앱이다. 다운로드한 악성 앱은 피해자의 개인정보 탈취를 목적으로 제작돼 있으며 신분증, 금융 정보등의 민감한 개인정보 탈취를 시도한다.

아울러 보이스피싱 스미싱은 기존의 스미싱 공격과 달리 악성 앱을 유포하는 URL대신, 공격자의 전화번호를 보내 전화를 유도하는 특징이 있다. 주로 ▲[국외발신]해외승인82** 합계대금:998.600원 상품A04****JP정상처리되었습니다. 확인문의:031-xxx-xxxx 등으로, 피해자가 공격자에게 전화를 하게 되면 공격자는 피해자에게 악성 앱 설치를 안내해 악성 앱을 유포하는 방식이다.

ESRC 측은 "보이스피싱 스미싱은 전화통화를 통해 안내를 받기 때문에 피해자는 URL을 포함하는 문자보다 더 쉽게 착각을 일으킬 수 있으며, 안내에 따라 악성 앱 설치를 진행하게 된다"고 설명했다.

수사기관사칭 스미싱은 경찰, 검찰등의 수사기관을 사칭한다. ▲[Web발신][교통24(이파인)]교통범칙금 고지서 발송 완료 hxxp://xxxxx.xxxx[.]casa 등의 내용을 발송돼 수신자가 악성앱을 내려받도록 유도하고, 개인정보를 탈취한다.

ESRC 측은 "스마트폰 사용 시 스스로 보안의식을 고취시킬 필요가 있으며 스미싱에 대한 경각심을 가져야 한다"면서 "문자 내의 URL 링크를 클릭하지 않거나 다운로드한 악성 앱을 설치하지 않으면 되며 신뢰할 수 있는 백신 앱을 설치해 사용하는 것도 피해를 예방하는 데 도움이 된다"고 설명했다.

◎공감언론 뉴시스 [email protected]