신용카드 정보유출 사칭 스미싱 '일파만파'

아주경제 장윤정 기자 = KB국민, 롯데, NH농협 등 주요 카드 3사의 고객정보 유출사고를 계기로 이를 악용하려는 스미싱 공격이 연일 기승을 부리고 있다.

국내 주요 보안업체들은 카드 개인정보 유출 확인을 빌미로 스미싱 문자를 발송, 소액결제를 유발시키는 공격이 빈번하게 발생하고 있다며 주의를 당부했다.

잉카인터넷은 23일 오후 1시경 자사 스미싱 차단솔루션인 '뭐야 이문자' 앱 이용자를 통해서 신용카드 정보유출 정보 확인내용으로 가장한 신종 스미싱 정보를 신고받았다고 밝혔다. 

이 문자는 '카드사 정보유출, KB, 롯데, 농협카드 홈페이지서 확인가능 60.XX.201.22'라는 내용으로 발송됐으며 IIP주소를 누를 경우 소액결제 피해를 입는 것으로 드러났다. 이번 사고발생 카드사의 이름을 직접 언급하며 소액결제 피해를 유발시키는 스미싱이 직접 확인된 사례다.
 

카드 개인정보 유출을 사칭한 스미싱 문자

악성앱 유포자들은 일부 스미싱 탐지앱의 탐지를 우회하기 위해서 인터넷 주소(URL)를 도메인 형식이 아닌 IP주소 기반 형태로 제작하여 배포했다. 

이용자가 무의식적으로 수신한 문자의 인터넷 링크를 클릭하면 스마트폰 단말기에 'app.apk' 이름의 악성앱이 다운로드되고, 다시 이용자가 해당 앱을 클릭하면 설치가 진행된다.

잉카인터넷에 의하면 유포 경로는 /http://60.***.210.22/app.apk'이며 악성앱 전파에 사용된 호스트는 일본 소재의 IP 주소로 확인됐다. 현재는 접속이 차단된 상태다.
 

악성앱을 클릭하면 다음과 같이 마치 구글 앱 스토어처럼 위장한 아이콘과 문구를 볼 수 있고, 매우 다양한 설치권한을 확인해 볼 수 있다

악성앱을 클릭하면 마치 구글 앱 스토어처럼 위장한 아이콘과 문구를 볼 수 있고, 매우 다양한 설치권한을 확인해 볼 수 있다. 이 악성앱은 안드로이드 기반의 스마트폰에 수신되는 문자메시지와 연락처, 인터넷 기능, 내장메모리, 발신전화 가로채기, 문자메시지 전송, 기기관리자 기능 등에 접근하게 된다.

악성앱이 설치되면 안드로이드 스마트폰 단말기의 바탕화면에 '구글 앱스토어' 이름의 구글 이름과 아이콘으로 위장, 생성된다.

그리고 이용자가 한번 더 실행하면 아래와 같이 [대한민국 법원]이라는 내용의 이미지를 보여주고, 기기관리자 기능을 작동시켜 악성앱 아이콘이 바탕화면에서 사라지고 이용자가 쉽게 제거하지 못하도록 조작한다.

악성앱은 법원 사칭 이미지외에 내부적으로 스마트 뱅킹 앱 내용을 가지고 있어, 모바일 뱅킹 이용자들을 겨냥한 악의적인 모바일 피싱 등을 수행할 수 있으며, 문자메시지와 단말기 내부에 존재하는 개인정보 등을 탈취하는 범행에 이용될 수 있다.
 

이용자가 한번 더 실행하면 아래와 같이 [대한민국 법원]이라는 내용의 이미지를 보여주고, 기기관리자 기능을 작동시켜 악성앱 아이콘이 바탕화면에서 사라지고 이용자가 쉽게 제거하지 못하도록 조작한다.

잉카인터넷 분석팀은 "스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품 등을 이용, 사전 탐지 및 치료가 가능하다"며 "더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법"이라고 밝혔다.

이스트소프트도 지난 23일 최근 2주간 카드사 개인정보 유출을 가장한 스미싱 건수가 175건으로 급증했다고 밝혔다.

이처럼 카드 개인정보 유출과 같은 사용자들의 관심이 높은 사회적 사건을 스미싱을 활용하려는 추세가 늘고 있어 사용자들의 주의가 시급하다.