2년 만에 등장한 텔레그램 스미싱, 또 시작된 계정 탈취

2024년 텔레그램 계정 탈취 캠페인 이후, 최근 텔레그램 보안 문제를 사칭해 사용자의 계정 정보를 탈취하는 스미싱 공격이 다시 확인됐다. 공격자는 피싱 사이트에서 사용자가 자신의 전화번호와 로그인 코드를 입력하도록 유도해 텔레그램 계정을 탈취한다. 계정이 탈취될 경우 개인정보와 대화 내용 유출은 물론, 2차 피해로 이어질 수 있다. 텔레그램 로그인 스미싱의 주요 수법과 사용자가 신경 써야 할 보안 수칙을 살펴보자.

[그림 1] 다시 급증한 텔레그램 로그인 스미싱

이번에 확인된 텔레그램 로그인 스미싱은 피싱 페이지 구성과 계정 탈취 방식이 2년 전과 거의 동일하게 유지되고 있다.

공격은 주로 텔레그램 보안 문제, 계정 보호, 로그인 확인 등을 사칭한 메시지를 통해 시작된다. 사용자가 메시지에 포함된 링크를 클릭하면 텔레그램 로그인 페이지처럼 보이는 피싱 사이트로 연결된다. 이 사이트는 실제 텔레그램 서비스와 유사하게 구성돼 있어 사용자가 정상적인 보안 확인 절차로 오인하기 쉽다.

[그림 2] 피싱 사이트 비교 2024년(좌) / 2026년(우)

특히 이번 피싱 사이트는 보안 탐지를 회피하기 위한 우회 기능도 포함하고 있다. 사이트는 접속자의 User-Agent 값을 확인해 분석 도구, 크롤러, 보안 서비스 또는 PC 환경에서 접속한 경우 정상 사이트로 리다이렉트한다. 이는 보안 담당자나 자동 분석 시스템의 탐지를 피하기 위한 목적으로 보인다.

[그림 3] 우회 로직 코드

사용자가 피싱 페이지에서 전화번호를 입력하면 텔레그램 앱으로 로그인 코드가 전송된다. 피싱 사이트는 사용자가 해당 로그인 코드를 입력하도록 요구한다. 사용자가 코드를 입력하면 공격자에게 계정 정보가 전달되며, 공격자는 피해자의 텔레그램 계정에 접근할 수 있게 된다.

텔레그램 계정이 탈취될 경우 계정 내 개인정보와 대화 내용이 외부로 유출될 수 있으며, 저장된 연락처를 대상으로 추가 스미싱 메시지가 발송되는 등 2차 피해로 이어질 가능성도 있다. 특히 텔레그램은 개인 대화뿐만 아니라 업무, 커뮤니티, 투자, 거래 관련 소통에도 활용되는 경우가 많아 계정 탈취 시 피해 범위가 더욱 커질 수 있다.

따라서 사용자는 텔레그램 보안 확인, 계정 보호, 로그인 인증 등을 이유로 링크 접속을 유도하는 메시지를 받았을 때 각별히 주의해야 한다. 출처가 불분명한 링크에는 접속하지 말고, 로그인 정보나 인증 코드를 외부 페이지에 입력해서는 안 된다.

또한 텔레그램 계정에는 반드시 2단계 인증을 설정하는 것이 안전하다. 2단계 인증을 활성화하면 로그인 코드가 유출되더라도 추가 비밀번호 입력이 필요하기 때문에 공격자의 계정 접근이 어렵다.

이와 함께 의심스러운 로그인 알림이나 낯선 기기 접속 여부를 주기적으로 확인하고, 필요 시 활성 세션을 종료하는 보안 습관도 필요하다.

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.