상세 컨텐츠

본문 제목

ESRC 4월 스미싱 트렌드 보고서

악성코드 분석 리포트

by 알약3 2022. 5. 30. 16:47

본문

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

 

4월의 주요 스미싱 공격은 택배 스미싱 문자로 49.72%를 차지하고 있습니다. 그리고 건강검진 스미싱이 38.46%, 마지막으로 보이스피싱을 유도하는 스미싱 공격이 10.69%를 차지하고 있습니다.

 

코로나로 인한 거리 두기 등이 완화되며 스미싱도 공격 방법이 변화하고 있습니다. 악성 앱 유포 링크를 제거한 후 통화를 유도하여 악성 앱을 유포하는 보이스피싱 방식의 스미싱 공격이 지속적으로 증가하고 있습니다.

 

4월의 스미싱 트렌드를 살펴보도록 하겠습니다.

 

4월 스미싱 트렌드

 


ESRC에서 수집 한 4월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다.

4월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다.

 

키워드 SMS 내용
택배 택배 도착, 주소지 오류 등의 문구로 구성
건강검진 건강 검진 결과 등의 문구로 구성
보이스피싱 피해자 전화를 유도하는 문구로 구성

[표 1] 수집 스미싱 문자들의 키워드 기반 분류

 

 

다음 그림은 스미싱 키워드 별 발견 비율을 보여주고 있습니다.

 

 

[그림 1] 스미싱 키워드 별 비율

 

 

그림을 살펴보면 스미싱 공격 키워드가 몇 개의 카테고리로 나누어지고 있음을 알 수 있습니다. 

 

4월의 주요 스미싱 공격은 택배를 키워드로 하는 스미싱이 주도하고 있습니다. 택배 스미싱 공격은 3월 대비 45.08% 감소하여 49.72%를 차지하고 있습니다.

 

뒤를 이어 건강검진을 키워드로 하는 스미싱 공격이 38.46%를 차지하고 있으며 3월 대비 35.45% 증가했습니다. 그리고 보이스피싱을 유도하는 내용의 스미싱 공격이 10.69%를 차지하고 있으며 3월 대비 9.07% 증가했습니다.

 

통계를 살펴보면 택배 키워드 활용은 줄어들었고 대신 건강검진 키워드와 보이스피싱을 유도하는 스미싱 공격이 증가했음을 알 수 있습니다. 


다음 그림은 발견된 스미싱 문자들의 화면입니다.

 

 

[그림 2] 스미싱 문자

 

 

이어서 각 키워드 별 주요 스미싱 문자들을 살펴보도록 하겠습니다. 발견 비율은 스미싱 키워드 별로 분류된 문자 내에서의 비율입니다. 가장 많이 발견되고 있는 택배 스미싱 문자부터 살펴보도록 하겠습니다. 

다음은 택배 스미싱 문자들을 정리한 것입니다.

 

 

택배 발견비율
[한진택배] ☆주☆소지 불일 치로 인하여 도.착예정인 상품을 :보:관 중입니다, 위치확인. [ xx.xxxxxxxx[.]com ]    34%
[CJ대한통운]고 객 에게연.락할/수/없.으니배송정:보:확인해/주/세요:[ bit[.]ly/xxxxxxx ]   3%
[Web발신]고객님께서주문하신상품이배달되었습니다.감사합니다.hxxp://xxxxx.xxxxx[.]com  2.6%
[대한통운] 고객 물.품 배송 실패 즉시 ☆주☆소변경☞ hxxps://bit[.]ly/xxxxxxx">    1.8%
[Web발신]안녕하세요. 우체국택배 입니다. 고객님의물품이 배송되었읍니다 hxxp://xxxxx.xxxxx[.]com">    1.1%
[ c j대한통운] 고객님 택배 배송 불가 즉시 주소 변경 부탁드립니다.[ xxx.xxxxxxxx[.]com/xxxxxx ]  1.1%
고객님 택배 배송 실패 주소 오류 즉시 주소 변경 부탁드립니다.[ xxx.xxxxxxxx[.]top/xxxxxx ]   1.1%
대한택배 고.객님 배송불가 주소가 있으니 즉시 처리해:주:세요hxxps//han[.]gl/xxxxx">     1.1%
[국외발신] (롯데택배) 해외물류센터 통관번호오류로 인해 물품 위탁중 url[.]kr/xxxxxx     0.75%
대한택배 고 객 상품 배송 실패 주<소> 오류 즉시 위치 변경:hxxps://han[.]gl/xxxxx">    0.75%

[표 2] 택배 스미싱

 


위 표의 스미싱 문자들을 살펴보면 택배 회사를 사칭하며 정보가 잘못되었다는 내용이 많습니다. 이는 피해자가 택배를 기다리고 있다면 관심을 가질만한 내용으로 피해자의 실수를 유도하고 있음을 알 수 있습니다.

 

택배 스미싱 문자의 전체적인 내용은 비슷하지만 몇 개의 단어를 바꾸거나 띄어쓰기, 특수 문자 등을 사용하여 문장을 구성하고 있음을 알 수 있습니다.

 

따라서 스미싱 문자를 유의 깊게 살펴보신다면 이상하거나 어색하다는 것을 알 수 있습니다.

 

다음은 건강검진 스미싱 문자들을 정리한 것입니다.

 

 

건강검진 발견비율
[Web발신]듀>[*국민건강보험]종합건강검진 결과표 전송완료.내용보기[xx.xxxx[.]fit]   31%
[Web발신] [건강보험공단] 종합건강검진 결과표 전송완료. 내용보기[xxxx.xxxx[.]work]  29%
[Web발신] [2022년 국가건강검진] 공단건강검진 안내. 내용확인[xxxx.xxxx[.]cLoud]  13%
[Web발신][*국민건강보험공단]건강검진 {통보서}발송완료.내용보기[xxxx.xxxx[.]worLd]   11%
[Web발신][*국민건강보험공단]일반건강검진 결과 통보.내용확인[xxx.xxxx[.]top]     6.3%
[Web발신][건강보험공단]건강검진 {통보서}전송완료.확인하기[xxxx.xxxx[.]tech]   4.4%
[Web발신][건강보험공단]검진진단서 내용발송.상세보기:xx.xxxx[.]fit   0.9%
[Web발신][*국민건강관리협회]종합건강검진 진단서 발송,내용확인[xxx.xxxx[.]pLus]  0.9%
[국민건강보험공단]건강검진 진단서발송.내용상세확인[xxx.xxxx[.]biz]    0.5%
[건강보험공단]종합건강검진 안내사항.확인하기[xxxx.xxxx[.]tech]     0.5%

[표 3] 건강검진 스미싱

 


건강검진 스미싱 공격은 3월 대비 대폭 증가했습니다. 이는 거리 두기 등의 방역정책 완화 기조에 맞물려 택배 이외에 효과적이었던 키워드인 건강검진을 활용한 것으로 추측됩니다.

 

건강검진을 받으셨거나 받으셔야 하시는 분들이라면 문자를 보고 본인의 진단서나 건강검진 관련 정보로 착각하여 링크를 클릭할 수 있을 것입니다.


다음은 보이스피싱을 유도하는 스미싱 문자들을 살펴보겠습니다.

 

 

보이스피싱 발견비율
[PAY쇼핑] 해외구매 1,047,420원 결제완료 승인번호:5623 본인아닐 경우 고객센터문의:02-xxxx-xxxx   7%
[국제발신] OOO님 [해외구매] 676,000원 결제완료 주문하신 물품은 14일이내 배송예정입니다 고객센터:02-xxx-xxxx 5%
[국제발신] OOO님[해외구매] 893,330원 배송품 입고완료 7일이내 배송예정입니다 고객센터:02-xxx-xxxx    5%
[국제발신] 거래내역 금액 973,200원 코드번호 48** 승인완료 되었습니다 -문의센터- 050-xxxx-xxxx    5%
[국제발신][PAY쇼핑] 해외직구 1,047,420원 구매완료 승인번호:5623 본인아닐 경우 고객센터문의:02-xxxx-xxxx  5%

[표 4] 보이스피싱 유도 스미싱


기존의 스미싱과 달리 악성 앱을 유포하는 url 대신 공격자의 전화번호를 포함하고 있는 특징이 있습니다. 이는 문자를 통해 악성 앱을 유포하는 대신 전화 통화를 유도하는 방식으로 피해자가 공격자에게 전화를 하게 되면 공격자가 피해자에게 악성 앱 설치를 안내하여 악성 앱을 유포하는 방식입니다.

 

보이스피싱 스미싱 공격은 악성 앱을 유포하는 링크가 없기에 피해자는 쉽게 속을 수 있습니다. 그리고 속은 피해자는 문자 내의 번호로 통화를 시도하게 되며 공격자는 특정 쇼핑몰 등의 고객센터를 사칭하여 공격자가 안내하는 악성 앱을 설치하도록 유도합니다.

다른 악성 앱 공격도 마찬가지지만 스미싱 공격 또한 사전 예방이 가장 중요합니다. 스마트폰을 사용하시는 분들은 스스로 보안의식을 고취시킬 필요가 있으며 스미싱에 대한 경각심을 가져야 하겠습니다.

스미싱의 예방 방법은 비교적 간단합니다. 문자 내의 URL 링크를 클릭하지 않거나 다운로드한 악성 앱을 설치하지 않으면 됩니다. 그리고 알약M과 같이 신뢰할 수 있는 백신 앱을 설치하여 사용하는 것도 피해를 예방하는 데 도움이 됩니다.

 

 

[그림 3] 구글 플레이 스토어 - 알약M 설치 페이지

 

알약M의 악성 앱 탐지 화면

 

 

[그림 4] 스미싱 악성 앱 탐지 화면

 

 

관련글 더보기

댓글 영역