최근 우체국 등 공공기관을 사칭해 ‘예약 물품을 확인하라’는 문자를 보내 악성 앱 설치를 유도하는 스미싱 공격이 발생했다.  

스미싱이란 문자메시지(SMS)와 피싱(Phishing)의 합성어로 ‘무료쿠폰 제공’, ‘돌잔치 초대장’, ‘모바일 청첩장’ 등의 문자메시지와 인터넷주소(URL)를 보내 클릭하면 악성코드가 스마트폰에 설치돼 피해자가 모르는 사이에 소액결제 피해 발생 또는 개인·금융정보 탈취되는 경우를 말한다. 

이번 우체국 관련 스미싱 공격자는 "고객님 예약 물품 맞는지 조회 부탁합니다"라며 "문제있는 경우 고객센터로 연락주세요"라는 내용과 함께 URL이 포함된 문자를 발송했다.

해당 문자의 URL를 누르면 epost(인터넷 우체국)로 위장된 가짜 사이트로 연결된다. 이후 ‘우체국 최신 버전을 다운로드하고 설치하세요’라는 메시지가 나타난다. 사용자가 ‘확인’ 버튼을 누르면 사용자의 스마트폰에 정상 우체국 앱을 사칭한 악성 앱이 설치되는 방식이다. 해당 악성 앱은 정상 앱을 변조한 것이 아니라 유사한 아이콘 등을 사용해 교모하게 제작된 것으로 분석됐다.

이런 방식의 공격을 '스피어 피싱'이라고 한다. 타깃을 정하고 문자나 이메일을 통해 일상업무와 관련된 것으로 교묘히 위장해 보내고 수신자가 악성코드가 담긴 파일을 실행하기를 기다리는 전형적인 해킹이다. 이처럼 공공기관인 우체국으로 사칭한 경우 당하기 십상이다. 

우체국을 사칭한 경우 문자메시지나 메일에 첨부된 파일이 압축 파일 형태로 내부에는 모두 악성 실행 파일(.exe)이 포함돼 있는 공통점이 발견됐다. 차이가 있다면 기존 유사 악성 메일의 첨부 파일이 zip, egg 등의 압축 파일 포맷을 사용한 것과 달리 이번엔 lzh, r22 등의 확장자 형태를 썼다는 점이다.

최수진 안랩 분석팀 주임연구원은 "확인된 악성코드는 외형이 마이크로소프트 프로그래밍 언어 중 하나인 비주얼 베이직으로 만들어진 것으로 보인다. 하지만 실질적인 악성 행위는 '나노코어'라는 이름의 닷넷(.NET) 기반 악성코드가 수행한다"면서 "의심스러운 메일은 물론 평소와 조금이라도 다른 메일을 수신했다면 각별히 주의해야 한다"고 말했다.

악성 앱은 설치 이후 문자메시지 발송 및 조작, 스마트폰 내 정보 탈취 등의 악성 행위를 수행할 수 있다. 공격자는 이렇게 탈취한 개인정보를 보이스피싱 등 추가 범죄에 활용할 수 있다. 

스미싱으로 인한 피해를 예방하기 위해서는 △출처가 불분명한 문자메시지 내 URL·첨부파일 실행 금지 △앱 다운로드 시 구글플레이 등 정식 앱 마켓 이용 △앱 설치 시 권한 확인하기 △스마트폰에 V3 모바일 시큐리티 등 모바일 백신 설치 등 필수 보안 수칙을 반드시 지켜야 한다.

안랩 ASEC 대응팀 박태환 팀장은 “블랙프라이데이나 연말 등 시즌을 앞두고 우편물이나 택배 관련 안내를 사칭한 스미싱은 꾸준히 발견되고 있다”며 “스미싱으로 인한 피해를 예방하려면 출처가 불분명한 문자메시지 속 URL을 실행하지 말고 앱은 반드시 구글플레이 등 정식 앱 마켓을 이용해 내려받아야 한다”고 강조했다.

안랩 측은 현재 V3 모바일 시큐리티는 악성 앱 다운로드 페이지(URL)와 악성 앱을 진단 및 차단하고 있다고 덧붙였다.