해외 IP에서 로그인 시도됐다며 문자 메시지로 안내한 뒤 URL 클릭 유도
타이포 스쿼팅 통해 실제 주소와 유사한 피싱 사이트로 유도
해킹 걱정에 급하게 로그인 시도 시 사용자 계정 정보는 공격자에게 전송돼

[보안뉴스 이상우 기자] 암호화폐 거래소 ‘코인원’을 사칭한 스미싱으로 사용자의 거래소 계정을 탈취하는 시도가 이어지고 있다. 특히, 공격자는 문자메시지를 통해 사용자의 계정이 해외 특정 IP에서 로그인된 기록이 발견됐으며, 사용자 본인이 로그인을 시도하지 않았다면 해외 IP 접속을 차단하라고 권고한다. 이와 함께 보낸 URL을 클릭할 경우 사용자가 실제 코인원 홈페이지와 유사하게 꾸민 피싱 사이트로 연결되며, 이 사이트에 속아 ID와 비밀번호를 입력할 경우 해당 정보가 공격자에게 전송된다.

코인원과 관련한 실제 로그인 안내 메시지와 경북에 위치한 특정 초등학교를 함께 사칭해 메시지를 보낸 것으로 미루어 볼 때 공격자는 특정인의 스마트폰 문자메시지 등을 해킹해 입수한 문자 메시지를 조합해 스미싱을 시도한 것으로 보인다. 다만, 암호화폐 거래소와 무관한 ‘초등학교’를 발신자로 표시한 것으로 보아 한국어에 능통한 범죄 조직은 아닌 것으로 추정할 수 있다.

메일 본문에 포함된 URL을 자세히 살펴보면 ‘coinone’이 아닌, ‘coinsnoe’인 것을 알 수 있다. 이러한 사이버 공격을 타이포 스쿼팅이라고 부른다. 타이포 스쿼팅은 실제 서비스나 소프트웨어 이름의 철자를 조금만 바꿔 사용자의 오인을 유도하는 일종의 사회공학적 기법이다.

해당 URL로 접속할 경우 팝업창으로 ‘피싱 피해 및 암호화폐 거래대행 주의’라는 메시지와 함께 해외 IP 차단 서비스 등을 이용하라고 권고하는 메시지가 나타난다. 이는 실제 코인원 홈페이지와 유사한 구성이며, 사용자 입장에서는 해외 로그인 관련 메시지를 보고 URL로 접속했을 가능성이 크기 때문에 더 쉽게 속을 수 있다.

해당 페이지에서 어떤 곳을 클릭하든 로그인 페이지로 연결된다. 여기서도 ‘해외 IP 로그인이 감지되었습니다. 단말기 지정 서비스를 신청해주세요’라며 로그인을 유도한다. 하지만, 이 역시 공격자가 꾸며놓은 피싱으로, 로그인 창에 ID와 비밀번호를 입력하고 로그인 버튼을 누를 경우 특정 서버로 해당 양식(ID와 비밀번호 조합)이 전송된다.



실제 코인원 로그인 페이지에서는 사용자가 이러한 피싱 페이지에 속지 않도록 3가지 사항을 모두 확인하도록 안내하고 있다. 우선 웹 브라우저 주소 표시줄에 있는 자물쇠 모양 아이콘이다. 이는 해당 웹 페이지가 데이터 전송에 사용하는 암호화 기능을 외부기관으로부터 인증 받았다는 표시다. 해당 인증서는 일정 비용을 내며 주기적으로 갱신해야 하기 때문에 사이버 공격자가 만든 피싱 사이트에서는 이를 잘 사용하지 않는다. 다음으로 ‘https’가 제대로 표시돼 있는지 확인하라고 안내하는 것 역시 같은 맥락이다.

다만, 사이버 공격자가 작정하고 이러한 타이포 스쿼팅을 시도할 경우 위조된 인증서 등을 이용해 자물쇠 마크 및 https 주소를 표시할 수도 있다. 이에 사용자는 URL이 자신이 알고 있는 것과 동일한지 확인해야 하며, 가능하다면 구글이나 네이버 등 대형 포털 사이트 등에 검색한 결과를 통해 공식 홈페이지를 찾는 것이 안전하다.

이번 코인원 사칭 스미싱의 경우 잘 구성된 한국어 문장을 사용해 계정 도용을 사칭했고, 피싱 페이지에 타이포 스쿼팅을 이용했으며, 로그인 페이지 역시 동일하게 구성하는 등 아주 정교한 계정 탈취 시도라 할 수 있다. 하지만, 이러한 공격에도 반드시 공격자가 놓친 허점이 있다. 이에 사용자는 문자메시지에 포함된 URL 함부로 클릭하지 않기, 인터넷 주소를 제대로 확인한 뒤 ID와 비밀번호 입력하기, 2단계 인증 활용하기 등 기본적인 보안수칙을 준수하는 것만으로 이러한 사이버 공격을 충분히 예방할 수 있다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>