ESRC 9월 스미싱 트렌드 보고서

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

 

9월 스미싱 공격은 코로나 팬데믹을 활용한 건강 관련 스미싱 공격이 주를 이루었습니다. 건강검진을 키워드로 하는 스미싱 공격이 전월대비 3배 이상 증가하며 택배 스미싱 공격을 밀어내고 가장 많은 공격 시도를 한 것으로 나타났습니다. 반면 택배를 키워드로 하는 스미싱 공격은 8월에 비하여 3배 정도 감소하였습니다.

 

이로 말미암아 주요 스미싱 공격 키워드가 택배에서 건강검진으로 전환되어 공격이 진행되고 있다는 것을 알 수 있습니다.  즉, 공격자들이 코로나 재 확산세 상황을 적절하게 활용하고 있는 것으로 판단할 수 있습니다.

 

9월의 스미싱 트렌드를 살펴보겠습니다.

 

 

9월 스미싱 트렌드

 

ESRC에서 수집 한 9월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다.

 

9월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다.

 

 

키워드	SMS 내용
택배	택배 도착 등의 문구로 구성
금융	대출과 연관된 문구로 구성
코로나	코로나 이슈와 관련된 문구로 구성
건강검진	건강 검진 결과 등의 문구로 구성
수사기관사칭	수사기관을 사칭하는 문구로 구성
암호화폐	암호화폐 거래소 사칭. 피싱 사이트 접속 유도 문구로 구성

[표 1] 수집 스미싱 문자들의 키워드 기반 분류

 

 

다음 그림은 스미싱 키워드 별 발견 비율을 보여주고 있습니다.

 

 

[그림 1] 스미싱 키워드 별 비율

 

 

그림을 살펴보면 스미싱 공격의 대부분이 건강검진 스미싱에 집중되어 있음을 알 수 있습니다. 

 

공격 비율을 살펴보면 건강 검진 관련 스미싱 문자가 74.35%를 차지하고 있으며 이어서 택배 스미싱이 전체 스미싱 공격의 19.95%, 금융 관련 스미싱 문자가 4.92%, 코로나 관련 스미싱 문자가 0.52% 그리고 수사기관사칭과 암호화폐 스미싱이 각 0.13%씩을 차지하고 있습니다. 

 

다음 그림은 발견된 스미싱 문자들의 화면입니다.

 

 

[그림 2] 스미싱 문자

 

 

각 키워드 별 주요 스미싱 문자들을 살펴보도록 하겠습니다. 발견 비율은 스미싱 키워드 별로 분류된 문자 내에서의 비율입니다. 가장 많이 발견되고 있는 건강검진 스미싱 문자부터 살펴보도록 하겠습니다. 

 

다음 표는 발견 비율이 높은 상위 10개의 건강 검진 스미싱 문자들을 정리한 것입니다.

 

건강검진	발견비율
[Web발신] [건강보험공단]검진결과 내용확인:xxxx.xxxx[.]team	25%
[Web발신][*건 강 관 리 협 회*]종합신체검진 내용보기:xxxx.xxxx[.]group	19%
[*건 강 관 리*]종합신체검진 내용확인:xxxx.xxxx[.]fit	13.5%
[Web발신] [건*강*관*리*협*회]검진통지 내용보기:xxx.xxxx[.]run	10%
[Web발신]<검진모아>종합신체검사 진단내용:xxx.xxxx[.]work	8.7%
[Web발신][*건 강 보 험 공 단*]종합신체검진 내용확인:xxxx.xxxx[.]fit	5.9%
[SMS][질병관리청]검진통지 내용확인:xxxx.xxxx[.]shop	4%
[Web발신][건★강★보★험★공★단]종합검진 내용보기:xxxx.xxxx[.]life	3.8%
[Web발신] [*건 강 보 험 공 단*]종합,신체,검진보고서 내용조회:xxxx.xxxx[.]vin	2%
[Web발신][*건 강 관 리 협 회*]종합검진 진단내용확인:xxxx.xxxx[.]group	1.4%

[표 2] 건강 검진 스미싱

 

 

건강 검진 관련 스미싱 공격은 코로나의 확산세를 이용하여 최근 공격 횟수가 증가하고 있습니다. 코로나 검사를 위해 선별 진료 등을 받았을 경우 건강검진 스미싱 공격을 받는다면 쉽게 속을 수도 있을 것입니다.
 

다음은 택배 스미싱 문자들을 정리한 것입니다.

 

택배	발견비율
[c j대한통운](알 림문자)03/10 배 송예정 물품/주”소 확인 바랍니다: { c11[.]kr/xxxx }	28%
고객에게연락할/수/없으니배송정보 확인해/주/세요:[ xx.xxxxxxxx[.]pro ]	15%
[CJ대한통운]고 객 에게연 락할,수>없으니배송정 보.확인/해.주/세요:[ xx.xxxxxxxx[.]pro ]무료거부10 ◁	12.9%
[대한통운] 고 객에게연락할"수"없으니배송/정보확:인해"주"세요:[ hxxps://bit[.]ly/xxxxxxxx ]	3.2%
로젠택배 배송 확인부탁합니다 hxxps://han[.]gl/xxxxx	1.9%
[Web발신] {CJ대한}운송장번호[366******8]반품처리 실시간으로확인부탁드립니 다:vo[.]la/xxxxxxxx	1.9%
농협택배 배송했습니다 hxxp://tinyurl[.]com/xxxxxxxx	1.9%
구매 한 선물은 우체국택배 배송되었으며 배송 시간은 다음과 같습니다. hxxp://tinyurl[.]com/xxxxxxxx	1.3%
[CJ대한통]주문하신물품.미밸달도로명불일치 .수정하세요:[ bit[.]ly/xxxxxxxx ]	1.3%
고객님 상점에 결제하신물품 배송햇습니다 확인부탁합니다 hxxps://tinyurl[.]com/xxxxxxxx	1.3%

[표 3] 택배 스미싱

 

 

앞서 언급했듯이 택배 스미싱 공격은 감소세에 있습니다. 그러나 스미싱 문자 내용은 지속적으로 수정되어 이전 택배 스미싱과는 다른 것을 알 수 있습니다.

 

다음은 금융 기관을 사칭하는 스미싱 문자들을 살펴보겠습니다.

 

 

금융	발견비율
<ooo뱅크> 고유코드로 발급된 모바일 신청서 입니다. hxxp://xxx.xxx.xxx[.]203 결과확인후연락 드리겠습니다	23%
<ooo뱅크모바일상담신청서> 고객님 고유 보안코드로 발급된 모바일신청서입니다. hxxp://xxx.xxx.xxx[.]83 ① 해당 주소링크 클릭 ② 설치 및 열기7 ③ 기재 내용 작성 ④ "신청버튼" 클릭 완료	13%
hxxp://xxx.xxx.xxx[.]66:8080/1.apk OOO	7.8%
안녕하세요 .OO은행 대출상담사 OOO입니다 .OO은행 모바일 웹 전자서명동의시스템 아래의 웹페이지 주소를 클릭하여 접속하시기바랍니다. hxxp://xxx.xxx.xxx[.]131/Ww30ri/ <모바일 대출신청하기 >다운 설치후--<대출신청>접속하셔서 빈공란 작성 및 신청해주시면 됩니다. 완료 되시면 말씀 부탁드리겠습니다.	5.2%
<ooo뱅크 모바일 신청서> 고객님 고유코드로 발급된 모바일 신청서 입니다. hxxp://xxx.xxx.xxx[.]190/kakaoBank.apk ① 해당 주소링크 클릭 ② 다운로드 완료 ③ 출처허용 이후 설치 및 열기 ④ 상담신청서 작성후 "신청하기" 클릭하시면 완료 ** 접수완료시 가조회 결과 확인후 연락드리겠습니다.*	5.2%

[표 4] 금융 기관 사칭 스미싱

 

 

금융기관을 사칭하는 스미싱 공격의 특징은 사칭하는 금융기관이 지속적으로 변경되며 문자의 내용 또한 주기적으로 변경한다는 점입니다. 

 

최근의 금융기관 사칭 스미싱 문자의 내용들이 정교해지고 있습니다. 금융기관 사칭 스미싱의 내용을 살펴보면 실제 금융기관이 보내는 문자라 착각될 정도로 금융기관이 발송하는 광고 문자와 비슷한 구성을 가지고 있습니다.

 

다음은 코로나 이슈를 활용하고 있는 스미싱 문자들을 살펴보겠습니다.

 

 

코로나	발견비율
[Web발신] [질병관리청]코로나 19 디지털 예방접종증명서의 발급 및 저장 본인확인 hxxps://ya[.]mba/xxx	50%
[Web발신][질병관리청]안녕하세요.코로나19 백신 예약 확인요청 hxxps://ko[.]gl/xxxx	25%

[표 5] 코로나 스미싱

 

 

코로나 관련 스미싱 공격은 감소세에 있습니다.

 

수사기관 사칭, 암호화폐 스미싱들은 발견되는 건수는 작지만 꾸준히 발견되고 있습니다. 차례대로 살펴보도록 하겠습니다.

 

다음은 수사기관 사칭 스미싱 문자를 살펴보도록 하겠습니다.

 

 

수사기관 사칭	발견비율
[Web발신]**교통민원24(이파인)** 면허증 도로 벌점 과태료 통지 본인확인 hxxs://ya[.]mba/xxx	100%

[표 6] 수사기관 사칭 스미싱

 

 

다음은 암호화폐 거래소 사칭 스미싱 문자를 살펴보도록 하겠습니다.

 

 

암호화폐	발견비율
[OOOOOOO 로그인알림] 고객님계정이 *IP-xxx.xxx.xxx[.]168*에서 로그인되었습니다.본인이않인경우에는 IP지정서비스신청후 사용해주세요. 최근 해킹피해사례가 많으니 코인원은 IP지정서비스를신청하시기바랍니다. OOO은 안전하고 건강한 시장 조성을위해 다방면으로 노력하고 있습니다. www.xxxxxx[.]com	100%

[표 7] 암호화폐 거래소 사칭 스미싱

 

 

다른 악성 앱 공격도 그렇겠지만 스미싱 공격 또한 사전 예방이 가장 중요합니다. 스마트폰을 사용하시는 분들은 스스로 보안의식을 고취시킬 필요가 있으며 스미싱에 대한 경각심을 가져야 하겠습니다.

 

스미싱의 예방 방법은 비교적 간단합니다. 문자 내의 URL 링크를 클릭하지 않거나 다운로드한 악성 앱을 설치하지 않으면 됩니다. 그리고 알약M과 같이 신뢰할 수 있는 백신 앱을 설치하여 사용하는 것도 피해를 예방하는 데 도움이 됩니다.

 

 

[그림 3] 구글 플레이 스토어 - 알약M 설치 페이지

 

 

알약M의 악성 앱 탐지 화면

 

 

[그림 4] 스미싱 악성 앱 탐지 화면