ESRC 11월 스미싱 트렌드 보고서

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

개요

코로나19가 3차 팬데믹 국면을 맞이하고 있습니다. 국민들은 지속되는 전염병 위험에 지쳐가고 있지만 스미싱 공격자들은 지속적으로 공격을 진행하고 있습니다. 

바뀐 생활 패턴에 택배 주문이 급증했으며 스미싱 공격자들도 이런 특징들을 공격에 활용하고 있습니다.

11월 스미싱 트렌드

ESRC에서 수집 한 11월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다.

11월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다.

키워드	SMS 내용
택배	택배 도착 등의 문구로 구성
건강검진	건강 검진 결과 등의 문구로 구성
금융	대출과 연관된 문구로 구성
수사기관	수사 기관을 사칭

[표 1] 수집 스미싱 문자들의 키워드 기반 분류

다음 그림은 스미싱 키워드 별 발견 비율을 보여주고 있습니다.

[그림 1] 키워드 별 스미싱 비율

그림을 살펴보면 11월 한 달간 이루어진 스미싱 공격은 택배 스미싱에 집중되어 있음을 알 수 있습니다. 택배 스미싱이 전체의 94%를 차지할 만큼 공격 비중이 높습니다. 

코로나19로 인한 위기 상황이 지속되며 택배를 이용하시는 분들이 많습니다. 이에 택배 관련 정보를 자주 접하게 된다는 점을 활용하는 것으로 판단됩니다.

그리고 건강 검진 관련 스미싱 문자가 5.37%를 차지하고 있으며 나머지 스미싱 문자의 발견 비율은 0.13% 정도입니다.

다음 그림은 수신된 스미싱 문자 화면입니다.

[그림 2] 스미싱 문자

각 키워드 별 주요 스미싱 문자들을 살펴보도록 하겠습니다. 발견 비율은 스미싱 키워드 별로 분류된 문자 내에서의 비율입니다.

우선 가장 많이 발견되고 있는 택배 스미싱 문자부터 살펴보도록 하겠습니다. 다음 표는 발견 비율이 높은 상위 10개의 택배 스미싱 문자들을 정리한 것입니다.

택배	발견 비율
상품 택배보냈습니다 확인부탁합·니다 asq.kr/xxxxxxxx	6.9%
판매자가 상품을 배송했습니다 시간에 확인+하세요 hxxp://asq.kr/xxxxxxxx	6.5%
（우 체 국 택 배 ）배송 했 습 니 다 asq.kr/xxxxxxxx	4.1%
CJ-택배 배송조회 asq.kr/xxxxxxxx	2.9%
[Web발신]택배 보냈으니 확인부탁드립니다 TInYuRL.COM/xxxxxxxx	2.0%
물류 전표번호 36****78 지정지 1일 후 배송 예정 hxxp://asq.kr/xxxxxxxx	1.9%
CJ택배 배송조+회 hxxp://reurl.kr/xxxxxxxx	1.9%
C·J대한통운 발신택배 보냈으니 확인부탁드립니·다· asq.kr/xxxxxxxx	1.8%
판매자가 상품을 배송했습니다 시간에 확인·하·세요 hxxp://asq.kr/xxxxxxxx	1.5%
CJ택배 잘 받으셨나요 본인확인부탁드립니.다 hxxp://asq.kr/xxxxxxxx	1.5%

[표 2] 택배 스미싱 상위 10개

표를 살펴보면 10월과 달리 비율이 높은 편차를 보이지 않고 있습니다. 공격자들이 스미싱 문구의 내용을 지속적으로 변경하여 유포하고 있기에 그렇습니다.

택배 스미싱 문자들의 내용은 대부분 배송된 본인 확인 또는 택배를 확인하라는 내용입니다. 이는 온라인에서 상품을 주문한 피해자들이 택배 관련 문자는 확인할 것이라는 점에 착안한 공격입니다.

택배 스미싱 문자들을 살펴보면 문장이 어색하다는 것을 알 수 있습니다. 띄어쓰기가 잘못되어 있으며 단순히 단어를 나열한 듯한 문자들도 있습니다. 그리고 문자의 마지막에 단축 URL 등이 존재합니다. 따라서 수신한 문자를 조금만 유의하여 살핀다면 쉽게 스미싱 문자임을 알아차릴 수 있습니다.

다음은 건강 검진 스미싱 문자를 살펴보겠습니다.

건강검진	발견 비율
[Web발신][건강검진] 발송 완료'[{통 지 서}]' 내용 hxxps://url.vet/xxxxx	16.9%
[Web발신][국민건강검진]2020년11월{'종합;(신체).검사'} 내용: hxxps://url.vet/xxxxx	11.2%
건강검진 발송 완료'(진단보고서)' 내용 hxxps://me2.kr/xxxxx	6.8%
[Web발신] 건강검진 내용 발송 완료. (진단서) 보고 내용 조회 chl.li/xxxxx	5.4%
[Web발신] 2020년11월【건강검진】내용이 발송되 었습니다 진단 서보 기> reurl.kr/xxxxxxxxxx	5.4%
건강검진 내용. (보 고) 내 용 조회 xxxxx.xxxxx.me	4.8%
[Web발신] 건강검진(고지서) 발송 완료..진단서 내용 xxxxx.xxxxx.me	4.8%
2020/11/19 [건강검진]내용발송 완 료.진 단서보고내용조회.≫ t2m.kr/xxxxx	4.4%
[국민건강검진]발송완료 {통지서} 내용 hxxps://url.vet/xxxxx	3.4%
[Web발신] [건강검진] 고지서 발송 완료..내용 xxxxx.xxxxx.me	2..2%

[표 3] 건강 검진 스미싱 상위 10개

건강 검진 관련 스미싱 문자들의 내용은 대동소이합니다. 건강 검진 관련 스미싱은 매년 국가에서 무료로 시행하는 건강 검진과 관련된 것으로 위장하여 피해자를 속이고 악성 앱 설치를 유도합니다.

다음은 금융 기관을 사칭하는 스미싱 문자들을 살펴보겠습니다.

금융	발견 비율
OOO x.xxx.xxx.142:60	33.8%
OO저축 hxxp://xxx.xxx.xxx.70	3.0%
OO캐피탈 전산팀 hxxp://xxx.xx.xx.220/hdcap51/ OO 캐피탈 정부지원자금 스마트신청서입니다. 스마트신청 누르신후 다운로드 받으신 다음 입력란에 누락 없이 입력하신후 담당자에게 연락 부탁 드립니다.	1.5%
행복한금융 따뜻한금융 hxxp://xxx.xx.xxx.54/	1.5%
OO모바일 모바일 신청서 다운 및 설치방법 hxxp://xxx.xxx.xx.157 1...링크접속-상단 모바일신청 2...화면 상단부분(베터리 표시부분)눌러서 끌어내린후 OOOO.apk 다운로드 완료 확인-터치 3...터치후 안내문구 -설정-출처를 알수없는앱 허용터치 또는 이 설치허용-설치-열기 4...어플설치후-열기-배터리 활용동의 동의-온라인 신청-작성후 개인정보활용 동의 조회하기 해주시면 됩니다 5..혹시나 출처 허용을 하였지만 어플이 설치가 안되는경우 바탕화면 play스토어-왼쪽상단의 가로줄3개매뉴-play프로텍트-오른쪽 상단 설정(톱니바퀴 모양)-상단의 기기의 보안위협이있는지 검사 해지후 재설치 해주시면 됩니다.	1.5%

[표 4] 금융 기관 사칭 스미싱 상위 5개

금융기관을 사칭하는 스미싱들 중 피해자의 이름과 IP만으로 구성된 스미싱 문자가 있습니다. 언뜻 보면 스미싱임을 알 수 없으나 IP를 클릭 후 설치된 앱을 실행해 보면 대출 관련 내용으로 꾸며진 가짜 금융기관 앱이 실행됩니다. 금융 기관 사칭 스미싱 문자를 받은 피해자가 때마침 대출을 고려하고 있다면 피해를 입을 가능성이 클 것입니다. 

다음은 수사기관을 사칭하는 스미싱 문자를 살펴보도록 하겠습니다.

수사기관	발견 비율
[Web발신] 【사이버 검찰청】 사건 처리 통지서 입 니 다.상세내용확인 hxxps://bit[.]ly/xxxxxx	25%
[Web발신] 사건 처리통지.서입니다. 상세내용 확인해주세요. hxxps://bit[.]ly/xxxxxx	25%

[표 5] 수사기관 사칭 스미싱

수사 기관 사칭 스미싱 문자는 검찰청과 같은 기관의 명칭을 사용하거나 수사 기관의 명칭 없이 사건의 처리 결과를 알려주겠다는 내용을 피해자들에게 보냅니다. 피해자가 수사 기관이 보낸 듯한 문자에 혹시나 하여 링크를 클릭하고 악성 앱을 설치하도록 유도하는 것입니다.