카드사 사칭한 피싱 문자 주의하세요!
안랩이 2023 년 4분기 동안 수집한 스미싱 문자에 대한 분석 내용 및 통계를 정리한 보고서를 발행했다. 보고서 핵심을 간단히 요약하면, 작년 4분기에는 단기 아르바이트 구인 내용 위장, 기관 사칭, 허위 결제 요구와 같은 특정 유형의 공격이 증가한 반면, 정부 지원금 사기, 가족 사칭, 택배 사칭 문자는 감소하는 경향을 보였다. 특이점이 있다면, 카드사를 사칭한 새로운 공격이 탐지됐다는 것이다. 유형 별 피싱 문자의 점유율 통계와 실제 발송된 메시지 내용을 살펴보자.
2023년 스미싱 공격의 주요 트렌드를 분석해보면, 택배 사칭, 단기 아르바이트 구인 내용 위장 공격이 가장 많은 비중을 차지한다. 연초에는 택배를 사칭한 공격이 많았으나, 연말로 갈수록 그 수가 감소하는 추세를 보였다. 이와 반대로, 작년 초 단기 아르바이트 구인 내용 위장 공격은 비교적 적었지만, 6월 이후부터 급증해 가장 흔한 공격 유형으로 자리 잡았다.
일부 피싱 문자에는 사회적 이슈가 반영되기도 했다. 예를 들어, 연말정산 기간 동안에는 국세청을 사칭한 피싱 공격이 발견됐고, 서이초 사건 이후 부고 내용으로 위장한 문자가 증가했다. 이 사례들은 공격자가 사회적 흐름을 신속하게 파악해 이를 공격 전략에 악용하고 있다는 것을 보여준다.
2023년 4분기 피싱 문자 통계
2023년 4분기 동안 수집된 피싱 문자를 분석한 결과, [그림 1]과 같이 단기 아르바이트 구인 내용 위장(61.2%), 카드사 사칭(17.6%), 기관 사칭(7.0%), 부고 위장(4.8%), 가족 사칭(3.9%), 허위 결제 위장(2.7%), 정부 지원금 위장(1.6%), 택배 사칭(1.1%) 순으로 점유율을 차지한다. 이 중 카드사 사칭 문자는 이번에 새롭게 집계된 피싱 유형으로, 신규 카드 발급 또는 카드 결제 승인 등의 안내 문자를 발송해 사용자를 고객센터로 위장한 보이스피싱 업체에 전화하도록 유도함으로써 개인정보 및 금융 정보를 탈취한다.
2023년 3분기 대비 단기 아르바이트 구인 내용 위장(▲17%), 기관 사칭(▲45%), 허위 결제 위장(▲105%), 부고 위장(▲8,560%)은 증가했지만, 가족 사칭(▼19%), 정부 지원금 위장(▼29%), 택배 사칭(▼55%) 문자는 감소했다.
[그림 1] 2023년 4분기 유형 별 피싱 문자 비율
작년 4분기 동안 피싱 공격에 가장 많이 악용된 산업군 TOP 5는 [표 1]과 같이 쇼핑몰(34.2%), 금융(20.2%), 기관(7.4%) 순이다.
[표 1] 2023년 4분기 피싱 문자에서 발견되는 산업군 별 비율
공격자는 사용자를 자신이 만든 임시 쇼핑몰 사이트로 연결하거나, 금융 담당자로 가장해 정부 지원금 위장, 카드사 사칭, 허위 결제 위장 문자를 발송한다. 작년 4분기에는 은행보다 카드사를 사칭한 사례가 더 많았다. 기관을 사칭한 피싱 문자는 국내에 널리 알려진 주요 공단 및 정부 기관으로 위장했으며, 물류 업계 사칭 문자의 경우 사람들이 자주 이용하는 택배사를 위장한 사례가 다수 확인됐다.
이 밖에, 공격자가 피싱 공격에 주로 이용하는 수단으로는 메신저 앱(77.0%), URL(15.5%), 전화(3.3%), SMS(1.7%), 기타(2.5%) 순으로 확인됐다.
2023년 4분기 피싱 문자 유형 별 상세 정보
작년 4분기에 확인된 유형 별 피싱 문자 내용을 정리하면 다음과 같다.
1. 단기 알바 위장 문자
단기 아르바이트 구인 내용 위장 문자의 예시는 [표 3]과 같다. 이 유형의 피싱 문자는 주로 카카오톡을 통한 연락을 제안하며, 온라인 쇼핑몰 또는 그와 유사한 업체를 가장해 집에서 단기간에 높은 수익을 올릴 수 있다는 내용으로 발송된다. 처음에는 소액의 투자로 시작해 일급 지급 등으로 신뢰를 구축한 후, 점차 높은 금액의 투자를 유도하며 사기를 시도한다. 이 과정에서 사용자가 더 많은 금액을 투자하도록 유도하는 전략을 사용한다.
[표 2] 단기 아르바이트 구인 내용 위장 문자 예시
2. 카드사 사칭 문자
[표 4]은 카드사 사칭 문자 예시이다. 공격자는 본문에 신규 카드 발급, 카드 결제 승인 등의 내용과 가짜 고객센터 전화번호를 포함한 문자를 보낸다. 카드에 문제가 생겼다고 속이고, 해당 전화번호로 사용자가 연락하도록 유도하려는 것이다. 이는 곧 보이스피싱으로 이어져 사용자의 개인정보 및 금융 정보가 유출된다.
[표 3] 카드사 사칭 문자 예시
3. 기관 사칭 문자
3-1. 수사기관 사칭 문자
수사기관 사칭 문자는 [표 5]와 유사한 내용으로 경찰청 교통 민원으로 위장해 발송된다. 본문에는 교통 규정 위반에 대한 과태료 발송 내용과 함께, 피싱 사이트로 연결되는 URL이 첨부돼 있다. 해당 피싱 사이트는 개인정보 입력 또는 [그림 2]와 같이 구글 플레이(Google Play) 스토어와 유사하게 제작된 사이트로 유도한다. 여기서 공격자는 사용자의 악성 APK 파일 다운로드를 추가로 유도해 개인정보와 금융 정보 탈취를 시도한다.
[표 4] 수사기관 사칭 문자 예시
[그림 2] 수사기관 사칭 사이트
3-2. 건강검진기관 사칭 문자
건강검진기관 사칭 문자는 [표 6]의 내용으로 발송된다. 건강검진기관 사칭 문자는 국민건강보험을 사칭하며 건강검진 관련 보고서를 전송한다며 본문 내 URL을 확인하라는 내용이다. 해당 URL로 접속하면 국민건강보험공단을 사칭하는 사이트로 연결된다. 공격자는 건강검진 보고서 열람에 필요하다는 구실로 개인정보 입력을 유도하며, 이 과정에서 사용자의 개인정보를 탈취한다.
[표 5] 건강검진기관 사칭 문자 예시
3-3. 국세청 사칭 문자
국세청 사칭 문자는 [표 7]과 유사하다. 국세청 사칭 문자는 소득 공제와 할인 혜택을 받을 수 있다는 내용으로 연말정산 기간인 5월과 연말에 주로 발송된다. 사용자가 본문에 있는 URL을 클릭하면 악성 APK 파일이 다운로드되고, 스마트폰에 있는 개인정보와 금융 정보가 유출된다.
[표 6] 국세청 기관 사칭 문자 예시
3-4. 국민연금 사칭 문자
국민연금 사칭 문자에 대한 예시는 [표 8]과 같다. 국민연금 사칭 문자는 국민연금 서류를 확인하라는 내용으로 URL 클릭을 유도한다. URL 클릭 시 연결되는 피싱 사이트에서는 전화번호, 주민번호 등의 개인정보 입력 또는 악성 APK 파일 다운로드를 유도해 개인정보 및 금융 정보를 탈취한다.
[표 7] 국민연금 기관 사칭 문자 예시
3-3. 환경관리부 사칭 문자
환경관리부 사칭 문자는 [표 9]와 같이 쓰레기 무단투기로 단속돼 과태료를 확인하라는 내용과 함께 URL을 발송한다. 해당 URL은 정부24를 사칭한 사이트로 연결하며, 사용자 개인정보와 금융 정보를 탈취하기 위해 전화번호, 주민번호 등의 입력, 악성 APK 파일 다운로드를 유도한다.
[표 8] 환경관리부 기관 사칭 문자 예시
4. 부고 위장 문자
부고 위장 문자의 대표적인 예시는 [표 10]과 같다. 서이초 사건 이후 증가하기 시작한 이 공격 유형은 작년 연말에 더욱 빈번하게 발생했다. 이런 공격에서는 보통 부모님 또는 가까운 친척이 돌아가셨다는 내용으로 조문 참석을 요청하며, 본문 내 URL 클릭을 유도한다. 사용자가 이 링크를 클릭하면 피싱 사이트로 연결되거나, 악성 앱이 다운로드돼 개인정보가 탈취될 위험이 있다.
[표 9] 부고 위장 문자 예시
5. 가족 사칭 피싱 문자
가족 사칭 문자에 대한 예시는 [표 11]과 같다. 가족 사칭 문자는 공격자가 자식을 사칭해 부모님에게 스마트폰이 고장나 임시 폰과 임시 번호를 받았고, 회신을 요청하는 내용으로 발송된다. 수신자가 해당 번호로 답장하면, 사용자의 개인정보와 금융 정보를 탈취하거나 원격 제어 앱을 설치하도록 유도하고, 사용자 스마트폰에 직접 접속하려고 시도한다.
[표 10] 가족 사칭 문자 예시
6. 허위 결제 위장 문자
허위 결제 위장 문자는 [표 12]와 같은 내용으로 발송된다. 허위 결제 위장 문자는 본문에 결제, 금액, 완료 같은 키워드와 가짜 고객센터 전화번호를 포함한다. 해당 번호로 연락하면 보이스피싱으로 이어진다.
[표 11] 허위 결제 위장 문자 예시
7. 정부 지원금 위장 문자
정부 지원금 위장 문자 내용은 [표 13]와 같다. 정부 지원금 위장 문자는 정부에서 원하는 대출 상품에 선정돼 저금리, 고정 금리와 같은 좋은 조건으로 대출이 가능하다며 금융 기관, 보증 기관과 같은 키워드를 사용한다. 이 유형의 문자에는 URL이 존재하지 않는 대신, 전화번호나 카카오톡 친구 추가를 통해 연락하도록 유도한다.
[표 12] 정부 지원금 위장 문자 예시
8. 택배 사칭 문자
택배 사칭 문자 예시는 [표 14]와 같다. 택배 사칭 문자는 유명 택배사를 사칭해 주소지, 통관 번호 오류와 같은 문제 때문에 배달이 불가능하다며 본문 내 URL을 통해 연락을 달라는 내용이다. 여기서 URL은 대체로 카카오톡 오픈 채팅방이나 택배 피싱 사이트로 연결된다. 연결된 카카오톡 채널은 대화를 통해 개인정보를 요구하거나 악성 앱 설치를 유도하고, 택배 피싱 사이트는 조회를 목적으로 개인정보를 요구한다.
[표 13] 택배 사칭 문자 예시
9. 기타 피싱 문자
9-1. 결혼 위장 문자
결혼 위장 문자에 대한 예시는 [표 15]와 같다. 결혼 위장 문자에 포함된 URL을 클릭하면 [그림 3]과 유사한 사이트로 이동한다. 이 사이트에서 제공되는 이미지나 링크를 클릭하면 악성 앱이 다운로드되고, 이 앱을 통해 사용자의 개인정보가 유출된다.
[표 14] 결혼 위장 문자 예시
[그림 3] 모바일 청첩장으로 위장한 피싱 사이트
9-2. 텔레그램 위장 문자
텔레그램 위장 문자는 [표 16]과 같은 내용으로 발송된다. 텔레그램 위장 문자는 계정에 이상이 생겼다거나 사용 정책을 위반했다는 내용과 함께 URL을 포함한다. 해당 URL 역시 개인정보를 유출하는 피싱 사이트로 연결한다.
[표 15] 텔레그램 위장 문자 예시
매년 증가하는 스미싱 공격에 대비하는 방법
피싱은 올해도 주요 위협 중 하나로 지목된 만큼, 앞으로도 증가 추세를 유지할 것으로 보인다. 따라서 스마트폰 사용자는 다음 내용을 숙지해 피해를 예방해야 한다.
1. 문자 본문에 포함된 URL을 클릭하지 않는다. 위 사례에서 살펴본 것처럼, 아직까지 대다수 피싱 공격에는 사용자의 URL 클릭을 유도하는 기법이 사용되고 있다. URL만 함부로 클릭하지 않아도 개인정보 유출을 막을 수 있다.
2. 의심스러운 문자의 발신자 번호는 인터넷에 검색해보는 것이 안전하다. 피싱 문자는 대부분 발신자 번호가 인터넷에서 정상적으로 검색되지 않는다는 특징이 있다.
3. [국제발신], [국외발신]과 같은 글자가 문자에 있으면 피싱 문자인지 의심해볼 필요가 있다. 실제로 국제발신을 통해 피싱 문자가 발송되는 경우가 많기 때문이다.
4. 카카오톡 친구 추가나 카카오톡, 밴드 오픈 채팅방으로 연락을 달라는 문자도 일단은 피싱 문자로 간주한다. 최근에는 공격자가 피싱 사이트로 연결되는 URL을 직접 보내기 보다는 사용자를 오픈 채팅방으로 유도해 악성 앱 설치를 유도하는 수법을 많이 사용한다.
한편, 안랩은 자사 모바일 보안 제품 ‘V3 모바일 시큐리티(V3 Mobile Security)를 모바일 악성코드, 프라이버시 노출 걱정 없이 안전하고 편리한 모바일 라이프를 즐길 수 있도록 다양한 보안 기능을 제공한다. URL 검사가 대표적이며, 스미싱 등의 피해를 막기 위해 악의적인 앱 설치를 유도하는 URL을 실시간으로 모니터링 한다. 또한, V3 모바일 시큐리티는 원치 않거나 알 수 없는 발신자로부터 온 전화 수신 차단 기능도 탑재했다. V3 모바일 시큐리
출처 : AhnLab
