ESRC 12월 스미싱 트렌드 보고서

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

 

 

12월은 11월과 마찬가지로 택배 스미싱이 공격을 주도했습니다. 택배를 키워드로 하는 스미싱 공격은 88.19%로 11월 대비 17% 정도 증가하며 여전히 증가세를 이어가고 있습니다. 그리고 금융기관을 사칭하는 스미싱 공격이 9.59%, 수사기관을 사칭하는 스미싱 공격이 1.52%로 증가세를 이어가고 있습니다. 

마지막으로 건강검진을 키워드로 하는 스미싱 공격은 0.58%로 11월 대비 22% 정도 감소하며 공격자들이 다시 택배 키워드를 스미싱 공격의 주요 키워드로 사용하고 있음을 알 수 있습니다. 

위의 통계를 통해 주요 스미싱 공격 키워드가 건강검진에서 다시 택배로 전환되고 있음을 알 수 있습니다. 

12월의 스미싱 트렌드를 살펴보도록 하겠습니다.

 

12월 스미싱 트렌드

 

ESRC에서 수집 한 12월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다.

12월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다.

키워드	SMS 내용
택배	택배 도착, 주소지 오류 등의 문구로 구성
금융	대출, 본인 인증과 연관된 문구로 구성
건강검진	건강 검진 결과 등의 문구로 구성
수사기관	수사 기관을 사칭하는 문구로 구성

[표 1] 수집 스미싱 문자들의 키워드 기반 분류

다음 그림은 스미싱 키워드 별 발견 비율을 보여주고 있습니다.

 

 

[그림 1] 스미싱 키워드 별 비율

그림을 살펴보면 대부분의 스미싱 공격이 택배 키워드를 활용하고 있음을 알 수 있습니다. 

공격 비율은 택배 스미싱 문자가 88.19%를 차지하고 있으며 금융 관련 스미싱이 9.59%, 수사기관을 사칭하는 스미싱 공격이 1.52% 마지막으로 건강검진 스미싱이 0.58%를 차지하고 있습니다.

다음 그림은 발견된 스미싱 문자들의 화면입니다.

 

 

[그림 2] 스미싱 문자

 

 

이어서 각 키워드 별 주요 스미싱 문자들을 살펴보도록 하겠습니다. 발견 비율은 스미싱 키워드 별로 분류된 문자 내에서의 비율입니다. 가장 많이 발견되고 있는 택배 스미싱 문자부터 살펴보도록 하겠습니다. 

다음 표는 발견 비율이 높은 상위 10개의 택배 스미싱 문자들을 정리한 것입니다.

 

 

택배	발견비율
고객님 택배 배송 불가 주소 불명확 즉시 주소 변경부탁드립니다.[ xxx.xxxxxxxx[.]top/xxxxxx ]	8.6%
[대한통운]고 객에 게연락할:수:없으니배송정/보/확인해:주:세요:[ xx.xxxxxxxx[.]top ]	8.2%
[CJ대한통운]고객님 상품 배송 실패 즉시 주소 변경:[ xxx.xxxxxxxx[.]top/x ]	6.3%
[CJ대한통운]고객님 택배 배송 불가 즉시 주소 변경 부탁드립니다.[ xx.xxxxxxxx[.]top/xxx ]	5.1%
고객님 택배 배송 실패 주소 오류 발생 즉시 주소 변경:[ xxx.xxxxxxxx[.]top/x ]	4.7%
고객님 택배 배송 실패 원인 주소 부정확 즉시 주소 변경:[ xxx.xxxxxxxx[.]top/xxxxxx ]	4.1%
고객님 택배 배송 실패 주소가 명확하지 않으니 바로 주소 변경해주세요.[ xx.xxxxxxxx[.]top/xxx ]	4.1%
고객 당신의 택배, 배송불가 주소가 명확하지 않아 배송불가 즉시 주소 변경[ bit[.]ly/xxxxxxxx ]	3.9%
[cj대한통운]고 객님 택배 배송불가 주/소 오류 즉시 주/소 변경: [ xxx.xxxxxxxx[.]top/xxxxxx ]	3.9%
고객님 택배 발송불가 주소 불명확 배송불가 즉시 주소 변경 부탁드립니다.[ xx.xxxxxx[.]com ]	3.5%

[표 2] 택배 스미싱

대부분의 스미싱 공격이 택배를 키워드로 하여 수행되고 있습니다. 위 표의 스미싱 문자 내용을 살펴보면 비슷하지만 몇 개의 단어를 바꾸거나 생략하여 다른 문장처럼 보이도록 했으나 내용은 동일한 것을 알 수 있습니다.

이렇게 특정 포맷의 택배 스미싱 공격이 다수를 이루고 있는 것으로 미루어 스미싱 공격을 수행하는 주체가 과거처럼 다양하지는 않을 것으로 추측할 수 있겠습니다.

다음은 금융 기관을 사칭하는 스미싱 문자들을 살펴보겠습니다.

 

금융	발견비율
[Web발신][OO저축은행]저금리 신용대출, 무방문 빠른 당일한도조회,합리적인 금리와 높은 한도! 지금 바로 내 최대한도 확인하기. 서민특별대출. 모바일로 간편신청. 1:1 전문 상담지원.hxxp://xxxxxxxx[.]com/	84.4%
OO캐피탈 모바일신청서 및 쉬운대출로 도와드리겠습니다 hxxp://xxx.xxx.xxx[.]162/xx	2.4%
OOO 담당자 입니다 고객님 Hxxp://xx.xxx.xxx[.]52 신청서 다운로드 페이지입니다 고객님 감사합니다	2.4%
<ooo뱅크> 고유코드로 발급된 모바일 신청서 입니다. hxxp://xxx.xx.xxx[.]145 결과확인후연락 드리겠습니다	1.2%
OO저축은행 모바일 신청서 xxx.xx.xxx.184	1.2%

[표 3] 금융 기관 사칭 스미싱

 

금융 기관을 사칭하는 스미싱 공격은 꾸준하게 발견되고 있으며 내용도 지속적으로 변화시키고 있습니다. 

다음은 수사 기관을 사칭하는 스미싱 문자들을 살펴보겠습니다.

 

수사기관	발견비율
[국제발신] OOO님 [교통민원24]교통법규 위반 처벌 통지서 발송 완료 hxxp://t2m[.]kr/xxxxx	46%

[표 4] 수사 기관 사칭 스미싱

 

수사 기관을 사칭하는 스미싱 공격은 공격 빈도가 높진 않으나 금융기관 사칭과 마찬가지로 꾸준하게 진행되는 공격입니다. 

 

12월 발견된 수사기관 사칭 스미싱은 주로 교통법규 위반을 주요 키워드로 사용하고 있습니다. 운전을 하시는 분들이 이런 스미싱 공격을 받는다면 피해를 입을 확률이 높을 것으로 판단됩니다. 

다음은 건강검진 스미싱 문자들을 정리한 것입니다.

 

건강검진	발견비율
[Web발신]<질병청관리청>건강통보서 확인하기[xx.xxxxx[.]tech]	20%

[표 5] 건강검진 스미싱

건강검진 스미싱 공격은 위드 코로나 등의 영향으로 감소세에 있는 것으로 판단됩니다.  

길어지는 코로나 시국으로 인해 경제적인 어려움을 겪고 계신 분들이 주로 금융기관 사칭 스미싱의 위협에 노출될 확률이 높을 수 있습니다. 이에 한층 더 각별한 주의가 필요할 것으로 생각됩니다.

다른 악성 앱 공격도 그렇겠지만 스미싱 공격 또한 사전 예방이 가장 중요합니다. 스마트폰을 사용하시는 분들은 스스로 보안의식을 고취시킬 필요가 있으며 스미싱에 대한 경각심을 가져야 하겠습니다.

 

스미싱의 예방 방법은 비교적 간단합니다. 문자 내의 URL 링크를 클릭하지 않거나 다운로드한 악성 앱을 설치하지 않으면 됩니다. 그리고 알약M과 같이 신뢰할 수 있는 백신 앱을 설치하여 사용하는 것도 피해를 예방하는 데 도움이 됩니다.

 

 

[그림 3] 구글 플레이 스토어 - 알약M 설치 페이지

 

 

알약M의 악성 앱 탐지 화면

 

 

[그림 4] 스미싱 악성 앱 탐지 화면