ESRC 5월 스미싱 트렌드 보고서

 

 

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 

 

5월은 택배 키워드를 사용하는 스미싱이 공격을 주도했습니다. 

택배를 키워드로 하는 스미싱 공격이 58.57%로 4월 대비 18.85% 증가했습니다. 뒤를 이어 건강검진을 키워드로 하는 스미싱 공격은 33.64%를 차지하고 있으며 4월 대비 16.4% 감소했습니다. 

다음으로 수사기관사칭을 키워드로 하는 스미싱 공격이 5.39%를 차지하고 있습니다. 그리고 마지막으로 보이스피싱을 유도하는 내용의 스미싱 공격이 1.4%를 차지하고 있습니다.

5월의 스미싱 트렌드를 살펴보도록 하겠습니다. 

 

5월 스미싱 트렌드

 

ESRC에서 수집 한 5월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다.

5월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다.

 

 

키워드	SMS 내용
택배	택배 도착, 주소지 오류 등의 문구로 구성
건강검진	건강 검진 결과 등의 문구로 구성
수사기관사칭	수사 기관을 사칭하여 관심을 유도하는 문구로 구성
보이스피싱	피해자 전화를 유도하는 문구로 구성

[표 1] 수집 스미싱 문자들의 키워드 기반 분류

 

다음 그림은 스미싱 키워드 별 발견 비율을 보여주고 있습니다.

 

 

[그림 1] 스미싱 키워드 별 비율

 

그림을 살펴보면 공격 비율은 택배 스미싱 공격이 58.57%를 차지하고 있으며 건강검진 스미싱이 33.64%, 수사기관사칭 스미싱 문자가 5.39%, 마지막으로 보이스피싱 스미싱 문자가 1.4%를 차지하고 있습니다. 

5월은 대부분의 스미싱 공격이 건강검진 키워드를 활용하여 이루어지고 있는 것으로 나타났습니다. 

다음 그림은 발견된 스미싱 문자들의 화면입니다.

[그림 2] 스미싱 문자

 

이어서 각 키워드 별 주요 스미싱 문자들을 살펴보도록 하겠습니다. 발견 비율은 스미싱 키워드 별로 분류된 문자 내에서의 비율입니다. 가장 많이 발견되고 있는 건강검진 스미싱 문자부터 살펴보도록 하겠습니다. 

다음은 택배 스미싱 문자들을 정리한 것입니다.

 

 

택배	발견비율
[Web발신][*대한운송] 고객님구매한신물품 5/14도착예정,주소지재확인바람.hxxp://xxx.xxxx[.]site	27.7%
[Web발신]송장번호(5920********97): 주소불일치 로 물품 보관중입니다:hxxp://xxxxx.xxxxx[.]com	13.2%
[Web발신][대한통운]고객님주문하신물품 5/13오전도착예정,주소지재확인바람.hxxp://xxxx.xxxx[.]site	7.5%
[Web발신][CJ대한통운]배송불가&l;도로명불일치&g;앱 다운로드 주소지확인 부탁드립니다 hxxp://xxxxx.xxxxx[.]com	4.1%
[국외발신][한진택배]통관 보류로 인하여개인통관부호 확인 요망문의하기hxxps://bit[.]ly/xxxxxxx	3.6%
[Web발신][대한]송장번호[5206**********87].주소불일치로물품보/관중입니다.hxxps://xxx.xxxxxxxxxxx[.]com	3.6%
[Web발신](*CJ대한)주문하신물품5/13도착예정,주소지재확인바람.hxxp://xxx.xxxx[.]site	3.1%
[로젠] 송장번호(5802***********96)주소불일치로물품보관중입니다. xx.xxxxxxxxx[.]com/	2.2%
[Web발신]{*대한택배}구매한신물품 5/14도착예정,주소지재확인바람.hxxp://xxxx.xxxx[.]top	1.7%
**로젠택배송장번호(5267********86)주소불일치로물품보관중입니다. hxxps://c11[.]kr/xxxxx	1.5%

[표 2] 택배 스미싱

 

택배 스미싱의 주요 내용은 주소 등이 잘못되어 주소를 확인하라는 내용으로 구성되어있습니다. 요즘은 택배 스미싱 문자 공격이 널리 알려져 있어 쉽게 당하지 않을것으로 생각하기쉽습니다. 

그러나 택배로 물건을 주문하고 받는 경우가 빈번한 요즘은 택배 스미싱 문자를 받게 되면 쉽게 택배 회사의 문자로 오인하여 공격자의 의도대로 악성 앱을 다운로드하여 설치 하게됩니다.

이렇게 설치된 악성 앱은 피해자의 정보를 탈취하여 공격자에게 전달합니다. 공격자는 탈취한 피해자의 개인정보를 활용하여 보다 효과적인 스미싱 공격을 실행하거나 금전 탈취를 위해 피해자의 정보를 활용합니다. 

다음은 건강검진 스미싱 문자들을 정리한 것입니다.

 

 

건강검진	발견비율
[Web발신][국민건강보험]고객님일반검진(무료대상자)입니다.내용확인 hxxp://xxx.xxxx[.]wtf	45.9%
[Web발신](*The보험공단)고객님일반검진(무료대상자)입니다.내용확인 hxxp://xxxx.xxxx[.]wtf	17.5%
[Web발신](*국민건강보험)고객님 2023년(본인부담없음)검진대상입니다.내용보기 hxxp://xxxx.xxxx[.]wtf	13.7%
[Web발신][*국민보험]고객님 2023년건강검진(무료대상자)입니다.내용확인 hxxp://xxx.xxxx[.]wtf	5.58%
국민건강 검진 통지서 입니다.자세한내용 확인hxxp://xxxxxxxxxxx[.]online	1.78%
[Web발신]>국민건강보험<건강검진 {통 보 서} 정상발송,내용확인 hxxp://xxx.xxxx[.]black	1.78%
[Web발신][*국민보험센터]고객님무료검진(본인부담없음)대상자,내용확인 hxxp://xxx.xxxx[.]wtf	1.66%
[Web발신][국민보험공단]2023년 무료(본인부담없음)검진대상입니다.내용보기 hxxp://xxx.xxxx[.]wtf	1.42%
[Web발신]**건강보험센터**건강검진 보고서 발송완료,내용보기 hxxp://xxx.xxxx[.]wtf	1.18%
[Web발신][*국민보험센터]신체종합검진 {통지서} 발송완료,내용보기 hxxp://xxx.xxxx[.]wtf	0.95%

[표 3] 건강검진 스미싱

 

5월의 건강검진 스미싱 문자는 무료로 검진을 받을 수 있다는 내용으로 구성되어있으며 건강검진 결과를 알려주는 내용으로 구성된 스미싱 문자도 꾸준하게 발견되고있습니다.  

피해자가 이런 건강검진 스미싱 문자를 받게 되면 건강검진을 받으려 검진 예약등을 하기위해 스미싱 문자내의 링크를 클릭하게되고 결국 악성 앱을 설치하게됩니다.

다운로드한 악성 앱은 피해자의 개인정보 탈취를 목적으로 제작되어 있으며 신분증, 금융 정보등의 민감한 개인정보 탈취를 시도합니다.

다음은 수사기관을 사칭하는 스미싱 문자들을 살펴보겠습니다.
 

 

수사기관사칭	발견비율
[국외발신]OOO님 사건이관처리되었습니다.사건확인후출석바랍니다.나의사건조회:c11[.]kr/xxxxxxx:031xxxxxxx	84%
[국제발신]님 사건 확인, 중앙지검 출석요망[전자금융위반]사건조회:gourl[.]kr/xxxxxxx:02-xxxx-xxxx	1.5%

[표 4] 수사기관사칭 스미싱

 

 

수사기관사칭 스미싱은 경찰, 검찰등의 수사기관을 사칭합니다. 5월에 발견된 수사기관사칭 스미싱은 피해자가 사건에 연루되어 있다는 식의 내용으로 구성되어있습니다.

대부분의 피해자들은 수사를 받는 등의 경험이 없기에 이런문자에 당황하게되며 링크를 클릭하여 악성 앱을 설치하게됩니다.

다른 스미싱 악성 앱들과 마찬가지로 이런류의 악성 앱도 피해자의 개인정보 탈취가 주요목적입니다.

다음은 보이스피싱을 유도하는 스미싱 문자들을 살펴보겠습니다.

 

보이스피싱	발견비율
[국제발신] OOO고객님 [하나은행]이상징후발견 (이체_출금)일시정지됨. 콜센터 문의바람 문의:02xxxxxxx	9%
[국제발신] 해외승인금액 KRW980.000원 정상처리 출고 예정 7일이내 취소문의및 기타 상담시 070-xxxx-xxxx	6.7%
[국제발신] 고객님 ****-****-****-6698 카드 발급안내 본인발급 아닐시 신고바랍니다, 상담접수\\xxxx-xxxx	6%
[통관세금미납안내]세금합계:448,000원(8개월분)금일 정상 처리 본인 아닌경우 관세청통관국 031-xxx-xxxx	5.8%
[국제발신][승인내역] 고객님 금액 549,800원 코드번호 63** 정상처리됐습니다 고객센터 031)xxx-xxxx	5%

[표 5] 보이스피싱 유도 스미싱

 

보이스피싱 스미싱은 기존의 스미싱 공격과 달리 악성 앱을 유포하는 url 대신 공격자의 전화번호를 보내어 전화를 유도하는 특징이 있습니다. 

피해자가 공격자에게 전화를 하게되면 공격자는 피해자에게 악성 앱 설치를 안내하여 악성 앱을 유포하는 방식입니다. 

 

전화통화를 통해 안내를 받기에 피해자는 url을 포함하는 문자보다 더 쉽게 착각을 일으킬 수 있으며 안내에 따라 악성 앱 설치를 진행하게 됩니다.

다른 악성 앱 공격도 그렇겠지만 스미싱 공격 또한 사전 예방이 가장 중요합니다. 스마트폰을 사용하시는 분들은 스스로 보안의식을 고취시킬 필요가 있으며 스미싱에 대한 경각심을 가져야 하겠습니다.

스미싱의 예방 방법은 비교적 간단합니다. 문자 내의 URL 링크를 클릭하지 않거나 다운로드한 악성 앱을 설치하지 않으면 됩니다. 그리고 알약M과 같이 신뢰할 수 있는 백신 앱을 설치하여 사용하는 것도 피해를 예방하는 데 도움이 됩니다.
  

[그림 3] 구글 플레이 스토어 - 알약M 설치 페이지

 

 

알약M의 악성 앱 탐지 화면

 

 

[그림 4] 스미싱 악성 앱 탐지 화면