교통민원24 앱으로 위장한 스미싱 사례

이번 에세이에서는 교통민원24 앱으로 위장한 스미싱 사례에 대해 설명드리겠습니다. 예전부터 문자로 택배 발송 등을 사칭해서 메시지에 포함된 URL을 클릭하여 악성 앱을 설치하도록 유도하는 스미싱은 꽤 많았었는데요. 대표적인게 CJ대한통운을 사칭하던 앱이였는데 지금도 스미싱에 사용하고 있는지 잘 모르겠지만, 분석했을 당시 아이콘도 그렇고 싱크로율이 실제 앱과 꽤 비슷했던 것으로 기억합니다. 최근에는 교통범칙금통지서를 사칭하는 스미싱이 발견되었다고 하는데 이에 대해서 말씀드려보도록 하겠습니다.

​

이전 글인 "4차 재난지원금 스미싱 공격 사례"에서 스미싱이 어떤 방식으로 진행되는지 설명드린적이 있었죠. 간단히 리마인드하자면, 먼저 해커가 스마트폰에 저장된 연락처나 공인인증서와 같은 개인정보를 유출하는 악성 앱을 사용자들이 많이 사용하는 앱과 비슷하게 만들구요. 이를 사용자가 다운로드 할 수 있도록 URL에 링크를 걸어 문자를 보내게 되죠. 안드로이드 앱 설치파일인 APK를 외부에서 다운로드 받았기 때문에, 사용자가 직접 보안 설정에서 "출처를 알 수 없는 앱" 항목을 허용하게 끔하여 설치하도록 유도할 겁니다. 그러면 사용자가 앱을 설치하여 실행하는 순간 스마트폰에 있는 개인정보가 해커에게 보내지거나, 추가적인 공격을 위해 계속 정상 앱인 것처럼 위장하여 백그라운드에서 동작하게 됩니다.

​

위의 방법 외에도 피싱 사이트를 만들어서 아이디와 패스워드 같은 계정 정보를 입력하게 유도하는 사례도 있다고 말씀렸는데요. 택배 주소가 잘못되었다는 문자를 보내서 대한통운 택배조회 사이트와 동일하게 만들어 놓고, 로그인 정보를 입력하도록 만들죠. 워낙 비슷하기 때문에 별 의심없이 입력할 수 있지만, URL을 확인해보시면 조금 다르다는 걸 확인하실 수 있습니다. 그리고 만약 2차 인증을 설정했다면 실수로 아이디와 패스워드가 유출되었다고 하더라도 해커가 함부로 쓸 수 없겠죠.

​

이번 사례는 APK 파일을 다운로드 받는 케이스와 비슷한데, 마치 교통법규를 위반했다는 뉘앙스로 '범칙금', '교통민원' 등의 단어를 사용하여 URL을 클릭할 수 밖에 없게 사용자를 속입니다. 심지어 이전에는 그나마 조선족이 쓴 듯한 어색한 말투와 번역체로 스미싱을 구분할 수 있었는데, 최근에는 불필요한 마침표 등도 포함하지 않아서 실제인 것처럼 느끼게 만들죠. 최근에는 시기에 맞춰서 건강검진, 재난지원금, 연말정산 등 사용자가 클릭할 수 밖에 없는 다양한 소재를 이용해서 스미싱 공격을 하고 있는 것 같습니다.

 

‘교통민원24’ 앱 설치로 위장한 스미싱 발견... 사용자 주의 필요

 

그래서 이런 공격을 당하지 않기 위해서는 이전부터 계속해서 설명드린 것처럼, 출처를 알 수 없는 URL은 절대 클릭하지 말고 보안 설정도 웬만하면 건드리지 말아야 합니다. 또한 주기적으로 모바일 백신을 설치해서 검사를 해주는 것도 하나의 방법이 될 수 있겠죠. 시간이 지날수록 스미싱 공격이 더욱 더 그럴싸하게 진행되기 때문에, 항상 문자를 받아도 한 번 더 의심하시고 카카오톡 또한 조심하시길 바랍니다. 그럼 오늘 설명드릴 내용은 여기까지구요. 여기서 마치도록 하겠습니다. 감사합니다.