때가 되면 찾아오는 스미싱 문자, 악성 메일이 있습니다. 사회적으로 중요한 이슈나 사회혼란을 틈타 이용자 정보를 탈취하는 일이 발생합니다. 설문조사, 범칙금 등 사례도 다양합니다.
교통범칙금 위장 스미싱 문자. 사진/안랩
위 사진은 교통범칙금을 위장한 스미싱 문자입니다. 공격자는 먼저 '[경찰청교통민원]교통범칙금통지 발송 완료', '교통법규위반 사실확인 통지서' 등의 내용으로 악성 URL을 포함한 문자를 발송합니다. 사용자가 문자메시지 URL을 누르면 '경찰청교통민원24'와 유사하게 제작된 피싱 사이트로 연결됩니다. 이 피싱 사이트는 정상 경찰청교통민원24 사이트와 달리 '핸드폰 번호를 입력하라'는 메시지와 입력창을 안내해 사용자의 전화번호 입력을 유도하고, 사용자가 전화번호를 입력하면 설치 페이지로 이동해 악성 앱이 다운로드됩니다. 교묘한 점은 해당 스미싱 문자를 직접 수신한 핸드폰 번호가 아닐 경우 '입력번호 오류'라는 메시지를 띄워 악성 앱 다운로드를 막았다는 것입니다.
워드 실행 후 보이는 악성 매크로 유도 화면. 사진/이스트시큐리티
또 다른 사례를 살펴보겠습니다. 왼쪽 사진은 미국 바이든 행정부 출범 기획 설문지로 위장해 해킹 공격을 시도한 화면입니다. 바이든 행정부 출범과 외교 안보 정책에 대한 설문지 문서처럼 사칭한 악성 문서 파일을 사용했습니다. 문서가 처음 실행되면 MS 오피스 업데이트로 가장한 허위 영문 메시지를 보여주고, 상단의 '콘텐츠 사용' 버튼을 클릭해 악성 매크로 기능을 허용하도록 유도합니다. 이 버튼을 누르면 매크로에 포함된 악성 명령이 동작해 예상치 못한 해킹 피해로 이어질 수 있습니다.
전문가들은 이러한 보안 우려 사고를 예방하기 위해선 이용자의 주의가 필요하다고 강조합니다. 최근 공격자들이 치밀한 시나리오를 준비해 정상적인 문자, 이메일을 표방하며 혼란을 주고 있습니다. 또한 이메일 자체의 취약점을 발견하는 등 공격을 고도화하죠. 보안시스템 업데이트를 비롯해 의심되는 문자, 메일은 누르지 않는 것이 이용자의 제1 자세라고 할 수 있습니다.