코로나19로 언택트(비대면) 금융·소비가 가속화하는 가운데 이를 노린 사이버 공격이 증가하고 있어 주의가 요구된다. 친근한 포털 화면이나 메시지 내용 등을 이용해 접근하기 때문에 진위 여부를 판별하기 어렵다.

13일 업계에 따르면 최근 국내 유명 포털 회사의 고객센터에서 보낸 것처럼 위장한 이메일 피싱 공격이 포착됐다. 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 최근 탐지된 공격은 네이버의 보안 서비스 중 하나인 '새로운 기기 로그인 알림 기능'이 해제됐다는 이메일 공지를 사칭하고 있다.

메일 내용에는 새로운 기기 로그인 알림 기능이 해제돼 다시 설정이 필요하다는 안내와 함께 '새로운 기기 로그인 알림 설정 바로 가기' 버튼을 클릭하도록 유도하고 있다.

이 버튼을 클릭하면 안전한 사용을 위해 사용자 계정의 비밀번호를 다시 한번 입력하도록 요구하는 창이 나타나며, 이 때 사용자가 스스로 계정 정보를 입력하면 정보가 고스란히 해커에게 넘어가는 전형적인 피싱 공격이다.

특히 이번 공격에 사용된 메일 화면은 실제 네이버가 사용하는 고객센터 공지 이메일과 디자인이 유사해 메일 수신자가 피싱 공격임을 인지하기 어렵다. '휴면 알림 메일 공지', '이메일 계정에 오래된 쿠키 정보가 있다' 등 다양한 수법이 번갈아 사용하며 지속적으로 디자인과 내용을 업데이트하고 있어 각별한 주의가 요구된다.

ESRC는 이번 공격의 배후로 특정 정부가 연계된 것으로 알려진 해킹 조직인 '탈륨'을 지목했다. 문종현 ESRC 센터장은 "탈륨은 최근 평일뿐 아니라 공휴일·야간에도 공격 이메일을 발송하고 있어 각별한 주의가 요구된다"며 "발신자 이메일을 유심히 살펴보고 로그인을 유도하는 웹 사이트의 인터넷 URL 주소가 공식 사이트가 맞는지 반드시 살펴봐야 한다"고 당부했다.

이외에도 피싱 이메일은 첨부파일을 통해 개인정보를 입력하게 하는 유형, 첨부파일 내에 멀웨어(악성 소프트웨어)가 존재하는 유형, 링크 클릭 시 피싱 사이트로 연결되는 유형, 링크 클릭 시 멀웨어가 다운로드되는 유형, 거짓 내용으로 상대에게 송금을 유도하는 유형 등이 있다.

코로나19로 비대면 소비와 금융활동이 늘고 있는 가운데 문자메시지를 이용한 휴대폰 해킹 기법인 스미싱도 기승을 부리고 있다. 스미싱 메시지는 평소 자주 접하는 내용을 담고 있는 것이 특징이다.

예컨대 '상점에서 주문한 상품이 발송되었으니 클릭해 확인하세요', '고객님의 상품이 도착했습니다', '안전을 위해 근처 전염병 상황을 확인하십시오', '건강검진 통지서. 자세한 내용 확인하세요' 등의 문구와 함께 링크를 담고 있다. 특정 택배회사와 금융사의 이름까지 구체적으로 쓰고 있어 본인이 자주 이용하는 업체일 경우 무심코 누르기 쉽다.

금융상담 전화까지 가로채는 악성 앱도 발견됐다. 금융앱을 사칭해 감염된 스마트폰 정보를 탈취하고 금융상담 전화를 가로채 공격자에게 재연결하는 방식이다.

안랩에 따르면 공격자는 실제 유명 금융사 웹사이트와 매우 유사하게 제작해둔 피싱 사이트로 사용자를 유도한다. 사용자가 해당 피싱 사이트에 접속하면 '이용하려면 본인인증 프로그램을 설치 해야한다'며 '카이시' 악성 설치파일(.apk)을 사용자 스마트폰에 다운로드하게 유도한다.

설치되는 과정에서는 통화기능과 주소록, 문자메시지 접근권한 등 과도한 권한을 요구한다. 또 최초 실행 시에는 '기본 전화 앱을 OOO(해당 악성 앱이 위장한 유명 은행앱 이름)으로 바꾸겠다'는 팝업을 띄운다. 평소 스마트폰으로 앱을 내려받을 경우 거치는 일련의 과정으로 느끼기 쉽다.

이어 사용자가 모든 권한을 허용하면 카이시 악성 앱은 스마트폰 정보와 문자메시지, 주소록 등을 유출한다. 이와 함께 사용자의 전화 상태를 모니터링하다가 공격자가 지정해 놓은 특정 금융사 전화번호로 발신이 감지되면 이를 가로채 공격자의 번호로 재연결한다. 사용자가 올바른 번호로 금융상담 전화를 걸어도 해당 전화가 공격자에게 연결되는 것이다.

전화 연결 시에는 악성 앱 내부에 저장한 각 금융기관 별 안내음을 재생해 사용자의 의심을 피하기도 했다. 현재 안랩의 V3모바일 제품군은 해당 악성코드를 탐지하고 있다.

피싱 공격이 다양하고 교묘한 형태로 진화하고 있는 만큼 피해를 막기 위해서는 조금이라도 의심이 들 경우 첨부된 파일을 다운로드하거나 본문에 첨부된 링크를 클릭하지 않는 노력이 요구된다.