"SKT 유심 해킹 피해 여부를 점검해 드립니다", "기기가 해킹된 것 같습니다"와 같은 메시지를 주의해야 한다는 경고가 나왔다.

피싱방지 솔루션 페이크파인더를 운영하는 보안기업 에버스핀은 SKT 유심 해킹 사태의 혼란을 틈탄 악성앱과 보이스피싱이 기승을 부리고 있어 사용자 주의가 필요하다고 8일 밝혔다.

SKT 유심 해킹 사고 이후 등장한 악성앱 피싱 시나리오는 피해자의 심리를 계산해 철저하게 설계된 공격 형태를 띠고 있다. 피싱범은 사용자의 불안한 심리를 이용해 해킹 피해가 우려되니 기기 보안을 도와준다는 명목으로 전화나 메시지를 통해 피해자에게 접근, 원격 제어 앱 설치를 유도했다.

피싱범은 악성앱을 압축파일 형태로 피해자의 단말기에 전송하며, '알집'과 같은 압축해제 프로그램을 깔게 만들었다. 사용자가 파일의 압축을 풀면 '피해구제국'이라는 이름의 악성앱이 등장한다. 이 앱은 개인정보를 수집하고, 이어 설치되는 'SK쉴더스'라는 이름의 두 번째 악성앱은 사용자가 금융기관이나 경찰청에 전화를 시도할 때 전화 통화를 범죄자가 가로채는 기능을 수행한다.

이처럼 피싱 범죄 조직은 실제 존재하는 정식 앱이나 브랜드명을 사칭한 악성앱을 유포했다. 'SK쉴더스'라는 이름의 악성앱은 실제 보안회사와는 전혀 무관한 위조된 악성앱으로, SK텔레콤과의 연관성을 노려 해당 기업의 이름을 악용한 것으로 추정된다.

'AnyDesk' 역시 본래는 정상적인 원격제어 앱이지만, 이번에 피싱범죄에 악용된 정황이 확인됐다. 압축 프로그램인 '알집' 역시 마찬가지다.

에버스핀이 확보한 설치 기록에 따르면, 해당 앱 4종(▲AnyDesk ▲알집 ▲피해구제국 ▲SK쉴더스)은 단 10분 이내에 순차적으로 깔렸다.

에버스핀 관계자는 "네 개의 앱이 10분 안에 모두 설치됐다는 것은 사용자의 경계심을 무너뜨리는 사회공학 기법이 매우 성공적으로 작동하고 있다는 방증"이라며 "피싱범죄조직은 시의적 이슈에 맞춰 사회적으로 '가장 잘 통할' 시나리오를 신속하게 구현하고 있다"고 분석했다.

이어 "아직까지 유심 복제 및 신규기기의 수치상 급증은 없지만, 피싱범들의 공격 방식이 SKT해킹 사고를 이용한 타깃 침투형으로 빠르게 전환되는 것을 확인할 수 있다"며 "타깃 침투형은 전화·앱 설치·통화 도청까지 복합적으로 연결되는 범죄 방식이기에 피해자는 피해 사실조차 인지하지 못할 수 있다"고 설명했다.

에버스핀은 추가 피해를 막기 위해 해당 악성앱들에 대한 정보를 한국인터넷진흥원(KISA)에 전달했다고 전했다.