[보안뉴스 김형근 기자] 스위스 국립사이버보안센터(NCSC)가 아이폰 사용자들에게 피싱 사기에 대한 경고를 보냈다. 이 사기는 분실되거나 도난당한 아이폰을 찾았다고 속여 사용자의 애플 ID 정보를 훔치는 방식이다.


잃어버린 아이폰 정보 이용한 ‘타겟 스미싱’
아이폰을 분실했을 때 사용자가 ‘나의 찾기’ 앱에서 잠금 화면에 소유자 전화번호나 이메일 등 연락처를 남기는 기능을 악용한 것이다.

악성 행위자들은 이 연락처 정보를 이용해 SMS 또는 아이메시지로 ‘나의 찾기 팀’을 사칭하며 접근한다.

이들은 아이폰 모델명, 색상 등 잠금 화면에서 직접 얻을 수 있는 구체적 정보를 포함시켜 메시지의 신뢰도를 높인다.

활성화 잠금 해제가 진짜 목적
문자엔 “성공적으로 위치가 확인되었습니다”는 메시지와 함께 위치 확인 링크가 포함된다. 사용자가 이 링크를 클릭하면 애플의 공식 웹사이트와 똑같이 생긴 피싱 페이지로 연결된다.

사용자가 속아 넘어가 애플 ID와 암호를 입력하면, 이 정보는 즉시 공격자에게 전송된다. 공격자들의 궁극적 목표는 기기에 걸려있는 활성화 잠금을 해제하는 것이다.

애플 ID가 없으면 기기를 초기화하거나 재판매할 수 없기 때문에, 탈취한 아이폰을 사용하거나 팔려면 계정 정보 탈취가 필수적이다.

NCSC 보안 권고 사항
NCSC는 애플이 분실된 기기를 찾았다고 SMS나 이메일로 절대 연락하지 않는다고 강조했다.

모르는 메시지의 링크는 절대 클릭하지 말고, 외부 웹사이트에 애플 ID 정보를 입력해서는 안 된다고 권고했다. 휴대폰을 잃어버렸다면 즉시 ‘나의 찾기’ 앱이나 아이클라우드에서 분실 모드를 활성화해 기기를 보호해야 한다.

추가로 심(SIM) 카드에 PIN 잠금을 설정해 전화번호 오용을 막고, 잠금 화면에 연락처를 남길 때는 전용 이메일 주소를 쓰는 것이 권장된다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>