국내 안드로이드 스마트폰 이용자들을 겨냥한 스미싱 사기범들이 개인정보 및 문자메시지(SMS) 수집 방식을 웹 서버에서 중국 무료 웹메일 서비스로 변경한 것이 다수 발견됐다.
 
잉카인터넷 대응팀 관계자는 “웹 서버 기반의 정보수집 방식은 명령제어(C&C) 서버의 IP주소 차단을 통해서 조기에 무력화될 수 있다. 그래서 공격자들은 노출된 서버의 IP 주소를 꾸준히 변경하거나 새로운 서버를 구축해 사용했다”며 “스미싱 공격자 측면에서는 자신들이 운영하는 서버가 국내에서 접속이 차단되는 것을 원하지 않기 때문에 웹 서버 방식에서 웹 메일 서비스 방식으로 교체했고 웹 서버를 구축해 운용하는 것 보다 무료 웹 메일 서비스를 이용하는 방식이 상대적으로 편리하고 유용했기 때문인 것으로 해석된다”고 설명했다.  
 
또 “현실적으로 무료 웹 메일의 도메인 접속 자체를 차단하는 것은 무리가 있어 악성앱에 포함되어 있던 이메일 계정의 접속차단을 시켰지만, 스미싱 범죄자들은 자신의 계정이 변경되지 않도록 보호장치를 추가하는 등 갈수록 지능화되고 있는 추세”라며 “특히 조사과정 중 공격자가 스미싱 범죄를 하기 위해서 모의로 사전 테스트한 내용과 일부 신상정보의 정황으로 보아 중국내 거주하는 한국인이거나 조선족으로 의심된다”고 밝혔다.
 
범죄자들이 개인정보를 빼가는 수법은 다음과 같다. 스미싱용 문자메시지는 결혼식과 관련된 내용으로 위장해 불특정다수에게 전파되었다. 더불어 공격자는 이미 문자 수신 대상자들에 대한 개인정보 즉 주민번호, 전화번호 등을 다수 보유하고 있는 상태로 악성앱 설치를 유도하고 있다.
 
스미싱용 문자메시지에 포함되어 있는 단축 URL 주소를 클릭하게 되면 악성앱(APK)이 이용자 단말기에 다운로드 된다. 그 다음에 이용자가 해당 앱을 클릭해 설치를 계속 진행하면 연락처, 문자메시지, 인터넷, 휴대폰 정보 등의 민감한 기능에 접근하는 권한요구 화면을 볼 수 있게 된다.
 
안드로이드 스마트폰 이용자들은 특정앱을 설치할 때 개인정보들을 요구하는 앱을 볼 경우 악성앱에 노출될 수 있으므로, 각별히 주의해야 한다.
 
[설치]버튼을 클릭하면 기기관리자 기능 실행여부를 물어보고, 실행할 경우 이용자가 악성앱을 쉽게 삭제하지 못하도록 방해한다. 이 부분은 기기관리자 기능을 통해서 사용자가 해제할 수 있다.
 
악성앱이 정상적으로 설치되면 이용자의 전화번호부와 문자메시지 등을 수집해 중국의 특정 웹 메일 주소로 이용자 몰래 발송하게 된다.
 
다음 화면은 실제 악성앱의 내부코드 화면으로 문자메시지 내용 등을 이메일로 발송하는 것을 확인할 수 있다.

 
스미싱 범죄자는 중국 웹 메일 서비스(163.com)에 계정을 생성하고, 악성앱에 감염된 사용자들의 정보를 수집하도록 만들어 둔 것으로 잉카인터넷 조사결과 확인됐다.
 
악성앱에 감염되면 개인정보 유출과 함께 범죄자에 의해서 다수의 휴대폰 소액결제사기 피해를 입게 된다. 실제로 엄청난 양의 피해가 발생하고 있는 상황이라고 업체 관계자는 말한다.
  
악성앱 제작자는 자신의 스마트폰 단말기를 이용해 악성앱이 정상적으로 정보를 유출하는지 모의 테스트를 수행했으며, 그로 인해서 이메일에는 제작자의 스마트폰 정보가 고스란히 남아 있는 상황이다.
 
잉카인터넷 관계자는 “스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품 등을 이용해 사전 탐지 및 치료해야 한다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청 해 두는 것도 좋은 방법”이라고 조언했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com