[보안뉴스 김경애] 최근 청첩장 스미싱이 활개를 치는 모습이 예사롭지 않았는데, 그 이유가 따로 있었던 것으로 드러났다. 특정 도메인과 국내 호스팅 업체를 악용해 스미싱 APK 파일을 배포하는 정황이 포착됐기 때문. 게다가 경유지로 악용된 도메인이 10개가 넘게 발견됐다는 제보까지 잇따르고 있는 등 스미싱 악성파일이 삽시간에 유포되며 이용자를 노리고 있다.

지난 12일 한국인터넷진흥원이 운영하는 폰키퍼에 따르면 ‘CMS_ ( <6<)모(바)일:][청n첩s장｝이 도착하였습니다..,, http://h*ty*h.c*m’ 문구가 포함된 스미싱 문자가 발견됐다. 이보다 하루 앞선 지난 11일과 8일, 7일 등에는 청첩장을 사칭한 스미싱이 연이어 발견된 바 있다.

이처럼 최근 청첩장을 사칭한 스미싱이 활개를 치고 있다. 그 이유를 분석해보니 국내 호스팅 업체가 스미싱에 악용되고 있었던 것이다.

이를 본지에 제보한 바이러스 콜렉터 김근주 실장은 “호스팅 업체를 악용해 스미싱 APK 파일을 배포하는 웹사이트가 지난 주말부터 11일까지 계속 발견되고 있다”며 “태그를 이용해 곧바로 해당 URL 사이트로 접속되도록 유도하고 있으며, 피해자가 APK 파일을 설치할 경우 개인정보나 금융정보가 공격자에게 넘어간다”고 설명했다.

이는 공격자가 스미싱 문자 발송과 함께 악성앱을 제작해 사전에 수집된 개인정보 등 불특정 다수에게 유포하면, 스미싱 악성파일에 감염된 사용자의 개인 및 금융정보가 공격자에게 탈취될 뿐만 아니라 악의적 목적에 계속 사용될 수 있다는 얘기다. 또한, 탈취된 정보는 공격자에 의해 소액결제 또는 계좌이체의 인증번호를 가로채는데 악용돼 피해자에게 결제금액이 청구되는 등 경제적 피해가 양산될 우려가 크다.

게다가 해당 스미싱 APK 파일은 청첩장을 사칭하고 있었으며, 이를 반증하듯 최근 청첩장을 사칭한 스미싱이 다수 발견되고 있는 상황이다. 즉, 스미싱 공격자가 이를 교묘히 노리고, 불특정 다수가 악성코드에 감염되도록 국내 호스팅 업체를 악용하고 있는 것으로 추정된다.

이와 관련 김근주 실장은 “국내 휴대폰 번호를 모아서 뿌리고 있으며, 이러한 스미싱 수법이 점차 진화하면서 성명, 휴대폰 정보를 모아 특정사람 이름으로 택배 반송 문자메시지를 보내고 있다”고 밝혔다.

따라서 이용자는 각종 스미싱 문자 안에 포함된 인터넷주소 URL을 클릭하지 않도록 각별히 주의해야 한다. 이와 함께 PC내 설치된 소프트웨어 보안패치 등에도 신경을 써야 할 것으로 보인다. 특히, 호스팅 업체의 경우 스미싱에 악용되지 않도록 상시 보안 모니터링을 비롯한 좀더 적극적인 대응이 요구된다. 

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>