ESRC 3월 스미싱 트렌드 보고서

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

3월의 스미싱 공격 중 택배 관련 스미싱은 2월에 비해 소폭 감소했지만 여전히 압도적인 공격양을 보여주고 있습니다.

3월 스미싱 트렌드

 

 

ESRC에서 수집 한 3월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다.

3월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다.

 

 

키워드	SMS 내용
택배	택배 도착 등의 문구로 구성
건강검진	건강 검진 결과 등의 문구로 구성
금융	대출과 연관된 문구로 구성
수사기관	수사 기관을 사칭

[표 1] 수집 스미싱 문자들의 키워드 기반 분류

 

 

다음 그림은 스미싱 키워드 별 발견 비율을 보여주고 있습니다.

 

 

[그림 1] 스미싱 키워드 별 비율

 

 

그림을 살펴보면 지난 2월과 마찬가지로 스미싱 공격의 대부분은 택배 스미싱에 집중되어 있음을 알 수 있습니다. 택배 스미싱이 전체 스미싱 공격의 98.55%를 차지하고 있습니다. 

이어서 건강 검진 관련 스미싱 문자가 0.86%를 차지하고 있으며 나머지 스미싱 문자의 발견 비율은 0.25% 정도입니다.

다음 그림은 발견된 스미싱 문자의 화면입니다.

 

 

[그림 2] 스미싱 문자

 

 

각 키워드 별 주요 스미싱 문자들을 살펴보도록 하겠습니다. 발견 비율은 스미싱 키워드 별로 분류된 문자 내에서의 비율입니다.

가장 많이 발견되고 있는 택배 스미싱 문자부터 살펴보도록 하겠습니다. 다음 표는 발견 비율이 높은 상위 10개의 택배 스미싱 문자들을 정리한 것입니다.

 

 

택배	발견비율
상품이 배송되었습니다. 자세한 내용을 보려면 아래 URL을 클릭하세요. hxxps://tinyurl[.]com/xxxxxx	37%
(택배CJ)알림 배송했습니다 빠른시간에 확인부탁합니다 hxxp://tinyurl[.]com/xxxxxx	13%
구매하신 선물은 CJ 익스프레스로 배송되며 배송 시간은 다음과 같습니다 hxxps://tinyurl[.]com/xxxxxx	10%
구매하신 선물이 배송되었습니다 자세한 내용을 보려면 아래 URL을 클릭하세요 hxxp://tinyurl[.]com/xxxxxx	9%
cj택배 배송했습니다 택배조회 hxxps://soo[.]gd/xxxxxx	8%
(택배CJ)알림 택배조회. hxxp://tinyurl[.]com/xxxxxx	6%
CJ택배반송처리중 본인확인부탁합니다. hxxp://tinyurl[.]com/xxxxxx	5%
[CJ대한통운] 택배가 도착했습니다 sHoRTuRl[.]at/xxxxxx	3%
cj택배 잘 받으셨나요.본인확인부탁드립니다 hxxp://asq[.]kr/xxxxxx	2%
CJ택배 도착했습니다 본인확인부탁드립니다. hxxps://me2[.]kr/xxxxxx	1%

[표 2] 택배 스미싱

 

 

표를 살펴보면 공격자들은 문장을 새로 만들어 배포하거나 일부 단어의 교체나 생략을 통해 다양한 문장을 만들어 배포하고 있음을 알 수 있습니다. 

다음은 건강 검진 스미싱 문자를 살펴보겠습니다.

 

 

건강검진	발견비율
[Web발신] ＜국 민 건 강 검 진＞통지서 상세내용확인:xx.xxx[.]wiki	65%
(건강검진)진단서 내용을 확인:x.xxx[.]mba	11%
[Web발신] (건강검진) 진단서 내용을 확인하세요:x.xxx[.]mba	8%
[Web발신] 국 민 건 강. 검 진 통 지 서. 내 용 확 인 해 주 세 요! hxxps://url[.]kr/xxxx	4%
[Web발신][건강검진]통-지-서 내용확인:x.xxxx[.]shop	3%

[표 3] 건강 검진 스미싱

 

 

건강 검진 관련 스미싱 문자들의 내용은 대동소이합니다. 건강 검진 관련 스미싱은 매년 국가에서 무료로 시행하는 건강 검진과 관련된 것으로 위장하여 피해자를 속이고 악성 앱 설치를 유도합니다.

다음은 금융 기관을 사칭하는 스미싱 문자들을 살펴보겠습니다.

 

 

금융	발견비율
OOOO은행 안녕하세요. 고객님 OOOO은행입니다. 모바일 신청 접수서를 보내드립니다. hxxp://xxx.xxx.xxx[.]47/kbbankk96/ 링크 터치 해서 다운로드 받으시면 됩니다. 간략한 인적사항 기재 및 대출희망금액에는 대환자금을 제외한 희망하시는 추가대출 금액만 기재 부탁드립니다. 접수 확인 되는대로 연락드려서 가승인 진행 할 수 있도록 하겠습니다. 감사합니다.	5%
01000000000 hxxp://xxx.xxx.xxx[.]202/shsaving/	5%
OOOOOO 금고 ttp://xxx.xxx.xxx[.]2/mgbank3/	5%
본인인증신청서 hxxp://xxx.xx.xx[.]207/kb OO APP센터 ( OOOO은행 | OO APP센터 )	5%
OO캐피탈 고객님 모바일신청서 하나작성해주셔야되는데요 ~ ↓↓모바일신청서↓↓ hxxp://xxx.xxx.xxx[.]143:60 -모바일 신청서 작성- 다운로드-설치-모바일신청서 작성 개인정보입력후 신청하기완료 눌러주세요 -링크클릭하시고 위에 절차대로 해주시면 되세요	5%

[표 4] 금융 기관 사칭 스미싱

 

 

금융기관을 사칭하는 스미싱들 중 피해자의 이름과 IP 만으로 구성된 스미싱 문자가 있습니다. 언뜻 보면 스미싱임을 알 수 없으나 IP를 클릭 후 설치된 앱을 실행해 보면 대출 관련 내용으로 꾸며진 가짜 금융기관 앱이 실행됩니다.

금융 기관 사칭 스미싱 문자를 받은 피해자가 때마침 대출을 고려하고 있다면 피해를 입을 가능성이 클 것입니다. 

다음은 수사기관 사칭 스미싱 문자를 살펴보도록 하겠습니다.

 

 

수사기관	발견비율
[국제발신] 【사이버 검찰청】 사건 처리 통지서 입 니 다.상세내용확인: hxxps://url[.]kr/xxxxxx	50%

[표 5] 수사기관 사칭 스미싱

 

 

문자를 살펴보면 사건 처리 내용을 통보하는 식으로 수사기관을 가장하고 있지만 하단의 단축 URL이 스미싱임을 알려주고 있습니다. 

이런 교묘한 유인책은 의외로 쉽게 통할 수 있기에 주의하여야겠습니다. 

다른 악성 앱 공격도 그렇겠지만 스미싱 공격 또한 사전 예방이 가장 중요합니다. 스마트폰을 사용하시는 분들은 스스로 보안의식을 고취시킬 필요가 있으며 스미싱에 대한 경각심을 가져야 하겠습니다.

스미싱의 예방 방법은 비교적 간단합니다. 문자 내의 URL 링크를 클릭하지 않거나 다운로드한 악성 앱을 설치하지 않으면 됩니다. 그리고 알약M과 같이 신뢰할 수 있는 백신 앱을 설치하여 사용하는 것도 피해를 예방하는 데 도움이 됩니다.

 

 

[그림 3] 구글 플레이 스토어 - 알약M 설치 페이지

 

 

알약M의 악성 앱 탐지 화면

 

 

[그림 4] 스미싱 악성 앱 탐지 화면