각종 모바일 보안위협을 실시간으로 관제하던 중 기존 스미싱과는 방식이 다른 한 단계 지능화된 공격수법을 확인됐다. 이번 방식은 스미싱 문자메시지에 포함되어 있는 단축 인터넷 주소(URL)를 클릭할 경우 바로 악성앱(APK)이 다운로드되는 기존 방식과 더불어 마치 정상적인 안내 페이지처럼 조작된 화면 등을 추가로 보여주어 이용자로 하여금 좀더 신뢰할 수 있는 내용으로 현혹될 수 있도록 이미지를 추가한 점이 가장 큰 특징이라 할 수 있다.
 
해당 악성앱을 발견하고 분석한 내용을 포스팅한 잉카인터넷 대응팀은 “기존 스미싱 방식은 문자메시지 내용으로 이용자를 현혹하는 것이 핵심이었다면, 이번에 발견된 수법은 거기에 더해 별도 안내 화면과 함께 이용자 스스로 알 수 없는 출처의 보안 옵션을 변경하도록 유인하는 기법을 도입해 이용자를 현혹하고 있다”고 설명했다.  
 
또 “참고로 최근에는 모바일 청첩장, 돌잔치 초대장을 위장한 스미싱이 꾸준히 유행하고 있으며, 우체국이나 법원의 등기우편물, 동창찾기, 추석 상품권, 놀이공원 이용권, 사회적인 이슈 등을 교묘하게 사칭하고 있어 이용자들은 이런 유사한 형태의 문자메시지에 포함된 단축 URL 주소를 무심코 실행하지 않도록 주의해야 한다”고 당부했다.
 
국내에서 시판되는 대부분의 안드로이드 기반 스마트폰 단말기는 환경설정의 보안옵션에 "알 수 없는 출처"라는 디바이스 관리 기능이 존재하고 초기 설정 값으로 해제되어 있다. 이 기능은 구글 플레이 공식마켓이 아닌 별도의 과정으로 설치 시도되는 앱을 허용하지 않도록 하는 일종의 보안 기능이다.
 
보통 스미싱으로 유포되는 악성앱은 "알 수 없는 출처" 기능의 체크가 해제되어 있는 경우 설치를 미연에 방지할 수 있다. 그러나 많은 이용자들이 안드로이드의 특성 상 서드파티 마켓이나 개인별로 앱을 공유하는 과정에서 이 기능을 활성화해서 사용하는 경우가 많아 문제다.
 
이번에 발견된 스미싱의 경우 이용자로 하여금 특정 사이트로 접속하도록 유인하는 과정에서 이 보안설정을 변경하도록 유도하는 화면을 보여준다. 이용자들은 이 화면에 절대로 현혹되지 않도록 주의해야 한다.
 
잉카인터넷 대응팀에 따르면, 현재까지 2가지 형태가 몇 차례 발견되었으며, 앞으로 유사한 형태가 다수 제작될 것으로 예상된다고 전했다.
 
아래는 [보안앱 설치하기] 내용으로 사칭해 악성앱 설치를 유도하는 사례이다.
 
또 다음은 [보안 도우미 다운로드] 내용으로 사칭해 악성앱을 설치하도록 유도하는 사례이다.
 
이용자에게 알 수 없는 출처 또는 알 수 없는 소스 등의 체크를 하도록 유인하며, 다운로드가 완료된 악성앱을 클릭해 설치가 진행되도록 유혹하고 있다.
 
대응팀 관계자는 “평상시 직접 앱을 설치하는 경우가 아닌 경우 가급적 "알 수 없는 출처" 부분은 체크를 해제해 두는 것이 보안상 안전하며 스미싱을 원천적으로 차단할 수 있는 솔루션을 설치해서 사용하는 보안습관이 중요하다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com