스미싱 기반 모바일 보안 위협 동향 보고서

1.  개요

 

스마트폰은 현대 사회에서 필수적인 도구로 자리 잡았으며 일상생활의 중심이 되었다. 하지만 이에 따라 모바일 악성 범죄가 지속적으로 증가하고 있다. 

그중에서도 스미싱(Smishing)은 문자 메시지를 이용해 피싱 페이지나 악성 앱 다운로드 URL을 유포하며, 개인정보 탈취, 인증 남용, 섹스토션(Sextortion) 등 다양한 범죄를 실행하는 주요 수단으로 자리 잡고 있다.

본 보고서는 2024년 기준 안드로이드 플랫폼에서 발생한 스미싱 사례를 통한 모바일 보안 위협의 심각성을 다루고 있다.

모바일 분석팀이 조사한 주요 스미싱 유형을 분석하고, 사회공학적 기법을 활용한 유포 방식, 앱 설치 후 발생하는 범죄에 대해 구체적으로 설명한다.

2.  스미싱 메시지

 

2024년 수집된 스미싱 메시지들을 분류한 결과, 주요 사례들은 [표 1]과 같다. 

스미싱 메시지는 주로 일반 사람들이 알고 있는 공공기관 및 정부를 사칭하고, 지인의 경조사나 우연한 만남을 가장한다.
 

[표 1. 2024년 수집된 스미싱 유형]

실제 유포 중인 스미싱 메시지는 [그림 1]과 같으며, 사용자가 현혹할 내용과 URL이 포함되어 있다. URL 클릭 시 사칭 내용에 맞는 피싱 사이트를 보여주어 피해자가 의심하지 못하게 만든다.

[그림 1. 스미싱 메시지 내용]

다음으로 스미싱 메시지를 통해 피해자를 현혹해 피싱 사이트 접속을 유도하는 수단, 스미싱 악성 URL의 특징, 그리고 스미싱 내 피해자 검증에 대해 소개한다.
 

2.1. 피해자 유도 수단
 

스미싱 메시지가 피해자를 현혹하고 악성 URL을 클릭하도록 유도하는 수단에 대해 설명한다.

2.1.1.  공공기관 서비스 사칭

 

보편적으로 인지하고 있는 공공기관을 사칭하여 의심없이 접근할 수 있도록 한다. 민원, 보험 공단, 우체국 등이 대표적이다. 

민원 및 보험 공단의 경우 일반인들이 의무적으로 이행하므로 악성 앱 설치와 같은 의심스러운 수단을 감추기 위해 사용되고 있다. 

따라서 주로 단순한 개인정보 탈취가 아닌 악성 앱을 통한 계정 탈취, 피해자 모니터링, 스미싱 메시지 재유포 등 다양한 기술적 범죄에 사용된다([그림 2] 참조).

 

[그림 2. 공공기관 서비스를 사칭하는 스미싱 메시지 내 피싱 사이트]

 2.1.2.  경조사 사칭

 

보안에 덜 민감한 중노년층을 대상으로 이들이 중요시하는 경조사 내용을 포함한다. 

스미싱 메시지 내용으로 구체적인 지인 이름 또는 가족의 이름을 포함될 수 있으며, 긴급한 클릭을 유도하여 의심스러운 수단을 감추는 목적을 가진다. 

이 또한 공공기관 서비스 사칭과 마찬가지로 악성 앱을 설치하기 위한 수단으로 사용된다([그림 3] 참조).

 

[그림 3. 경조사를 사칭하는 스미싱 메시지 내 피싱 사이트]

 2.1.3.  금전적 이득

젊은 층을 주요 대상으로, 코인 및 주식 투자를 명목으로 클릭을 유도한다. 이러한 투자 관련 사기로 관련 기업 고객 센터 직원 사칭 및 참여자 사칭(일명 바람잡이) 등 인력이 투입되며, SNS와 기업용 상담 플랫폼 등을 적극적으로 활용한다([그림 4] 참조).

 

[그림 4. 코인 소각 내용을 통한 코인 수수료 스캠]

최근에는 메시지만 유포할 경우 피해자가 경계심을 가지게 되므로, 전략을 변경하여 [그림 5]과 같이 실수를 통한 우연한 만남 또는 SNS에서 공격자가 유포한 게시글에 “좋아요” 등을 계기로 메신저 앱을 통해 친분을 쌓는다.

[그림 5. 잘못 보낸 메시지 또는 SNS의 ‘좋아요’를 명목으로 친분을 쌓는 투자 스캠]

 

이 후 공격자는 ‘우리 둘만 알고 있는 정보’라며 주식 및 코인 차트 조작 사이트의 웹 앱 설치 또는 스캠 투자방에 초대하고, 기대감이 높은 종목이라고 소개하며 피해자의 금전을 이체하게 만든다([그림 6] 참조).

 

[그림 6. 채팅을 통해 특정 종목 투자 권유]

 2.1.4.  성적 만남

‘2.1.3. 금전적 이득’과 마찬가지로, [그림 7]과 같이 메시지 및 SNS를 통해 성적 만남을 제안하는 방식이 사용되고 있다. 

이들은 피해자와 메신저 앱을 통해 음란한 대화를 주고받는 과정에서 악성 앱 설치를 유도한다.

 

[그림 7. 메시지와 SNS를 활용한 성적 만남 사칭]

 2.1.5.  기타

SNS 계정 정지 경고 등 플랫폼 관련 사칭 메시지를 통해 피해자의 계정을 탈취한다. 

주요 타겟 플랫폼 계정은 텔레그램으로, 높은 보안성으로 인한 비밀성을 가지는 대화 및 채널, 기간성이 없는 파일 공유 등 다양한 편의성으로 인해 사용된다. 

재로그인 요청, 정책 위반 등 명목으로 스미싱 메시지를 받게되면 텔레그램에 민감한 내용을 가진 피해자일수록 다급하게 인증 코드를 입력하게 된다. 

공격자는 인증 코드가 C2서버로 전송될 경우 해당 텔레그램 계정으로 자동으로 접속하여 로그인 기기 연동을 해지하고 텔레그램을 사용할 수 없도록 만든다([그림 8, 9] 참조).

 

[그림 8. 텔레그램 피싱 페이지 스미싱 메시지]

[그림 9. 공식 Telegram 공식 사이트(좌)와 피싱 사이트(우) 비교]

 

 

MD5

030162b38862c2132df1e8f1453642d8

03e734aee342f960b82c23065164232a

0831192e148392cbc7e8d1e254d06bd0

0aee15d31615184c74840f8df2195cea

15276fe562bfe4ecb5b2ee1ce53183c1