안드로이드 기반 스마트폰 이용자를 겨냥한 새로운 내용의 스미싱(Smishing) 공격이 발견됐다. 물론 스미싱용 문자메시지가 갈수록 다변화되고 있기 때문에 이용자들은 URL이나 IP주소 등의 인터넷 주소가 포함된 경우 가급적 접근을 자제하고 의심해 보는 노력이 필요하다.
잉카인터넷 대응팀 관계자는 “이번에 확인된 유형은 국내에서 실제 서비스 중인 특정 영화감상 웹 사이트의 화면을 무단도용했다. 문자메시지 내용에는 마치 10주년 기념 이벤트처럼 이용자의 심리를 교묘하게 파고들었고, 무료로 영화를 감상할 수 있는 인터넷 바로가기 주소처럼 위장한 후 이용자를 현혹시켰다”며 “그런 다음에 문자메시지에 포함된 인터넷주소를 클릭하도록 유도한 후, 만약 인터넷 주소에 접근할 경우 실제 이벤트처럼 보이도록 정교하게 조작된 가짜 웹 사이트로 연결시켜 신뢰도를 높이고 있다”고 주의를 당부했다.
이번에 발견된 스미싱은 실제 서비스 중인 특정 웹 사이트의 화면을 그대로 보여주면서 악의적인 안드로이드 악성앱(APK)파일을 자동적으로 다운로드시키고, 이용자가 직접 악성앱을 설치하도록 유도한다.
따라서 이용자들은 호기심 유발이나 무료라는 내용에 쉽게 현혹되지 않아야 하며, 악성앱에 감염될 경우 문자메시지, 주소록, 사진, 메모, 공인인증서, 통화내역 등이 손쉽게 해커에게 탈취될 수 있고, 녹음기능을 통한 도청 등의 사생활 침해와 추가적인 악성앱 다운로드 설치 등의 피해를 입을 수 있다는 것을 명심해야 한다.
지난해 하반기부터 유행한 한국 맞춤형 스미싱 범죄 초기에는 모바일 소액결제 승인문자를 몰래 가로채치한 금전 사기가 기승을 부렸으나, 최근에는 스마트 뱅킹용 악성앱을 추가 설치하여 금융정보를 탈취 후 전자금융사기에 활용되고 있어 피해금액이 갈수록 커질 전망이다.
잉카인터넷 대응팀 관계자는 “국내에서 스미싱을 통해 유입되는 악성앱들은 대부분 안드로이드 OS 기반의 스마트폰 이용자를 대상으로 삼고 있으며, iOS 기반의 악성앱은 상대적으로 찾아보기 힘들다. 현재도 안드로이드 악성앱은 폭발적으로 증가하고 있고, 스미싱 기법의 공격도 꾸준히 이어지고 있으므로, 이용자들의 각별한 주의와 관심이 필요하다”며 “안드로이드 기반 악성앱은 스마트폰 범죄의 온상으로 자리잡고 있으므로 안드로이드 단말기 이용자들은 스미싱 차단 탐지 솔루션 등 모바일 보안솔루션을 적극적으로 활용하고, 이용자 스스로 호기심 유발이나 의심스러운 문자메시지에 쉽게 접근하지 않는 보안습관이 중요하다”고 강조했다.
잉카인터넷 대응팀이 분석한 이번 스미싱 수법은 다음과 같다.이번에 발견된 스미싱 문자 메시지는 국내에서 서비스 중인 "씨네폭스" 사이트의 내용처럼 사칭하여 전파되었다.
<씨네폭스-10주년기념이벤트 국내최대편수 합법 인테넷영화관 굿다운로드, 스마트폰으로 실시간 무료영화감상 바로가기>> http://2.****nxon.com/>
보통 국내에 전파되는 스미싱 문자의 경우 오타나 표현이 부자연스러운 경우가 많은데, 이번 경우에도 인터넷을 ‘인테넷’ 등으로 잘못 표기했고, 도메인의 경우도 실제 "시네폭스" 사이트가 아닌 다른 도메인이 이용되었다. 그러나 접속되는 사이트는 실제 "씨네폭스" 소스코드를 도용했기 때문에 동일한 화면으로 보여진다.
해당 문자메시지를 수신한 불특정다수의 이용자 중에 내용확인을 위해서 인터넷주소로 접근할 경우 다음과 같은 웹 사이트로 연결되고, 수초 후에 "korea_k-pop-2.apk" 이름의 악성 APK 파일이 다운로드된다.
다운로드된 악성앱(APK)을 이용자가 한번 더 클릭하면 설치가 진행되며, 문자메시지 감시와 인터넷 기능권한 등을 요구하는 화면이 나타난다. 이 권한은 많은 안드로이드 악성앱들이 스마트폰 이용자의 정보를 탈취하기 위해서 보편적으로 사용하는 악성기능으로 악성앱 제작자들이 손쉽게 이런 기능에 접근하지 못하도록 개발 관계사들의 적극적인 차단노력이 필요하다.
설치된 악성앱이 실행되면 "씨네폭스" 이벤트 내용과는 전혀 무관한 백혈병 관련 문구와 입력화면을 보여주고, [확인]버튼을 클릭하면 바로 사라진 후 악의적인 기능이 유지된다.
이외에도 최근 스미싱의 기법을 보면 차단회피 목적으로 도메인 주소의 일부만 조금씩 변경하면서 유포하는 다형성 기법과 IP주소를 이용하는 방식 등이 꾸준히 이용되고 있다.안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다.
다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징해 위장하는 경우, 추가 악성앱을 몰래 다운로드해 설치하는 경우도 발견되고 있으므로, 전용 솔루션으로 전체검사를 수시로 수행해 보는 것이 좋다.
만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처해 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.
점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있다.
<스마트폰 보안 관리 수칙>
1. 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.
4. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.
5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
6. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.
7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제하고, 알 수 없는 출처의 앱이 설치되지 않도록 설정한다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
