Home > 전체기사
코로나19로 ‘방콕’하는 사람들 노린 피싱·스미싱... 택배·마스크·발주서 쓰면 ‘혹’
  |  입력 : 2020-03-16 01:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
최근 온라인 쇼핑 증가로 가장 많이 받는 ‘택배’ 문자 사칭 스미싱 기승
재택·원격 근무시 가장 반가운 ‘구매 발주’ 메일에 담긴 개인정보 탈취 악성코드
코로나19 이슈 악용한 ‘혹스(hoax)’ 메일과 마스크 판매 온라인 사기도 여전


[보안뉴스 권 준 기자] 코로나19 사태가 장기화되면서 재택·원격 근무를 하는 직장인들이 늘어나고, 초·중·고교생들의 개학도 계속 미뤄지면서 집에만 콕 머물러 있는 ‘방콕’족이 증가하고 있는 가운데 이를 노린 사이버범죄자들의 움직임도 더욱 활발해지고 있다. 특히, ‘방콕’하는 사람들이 가장 기다리고 필요로 하는 택배, 마스크, 발주서 등의 키워드를 넣은 문자나 메일을 발송해 클릭을 유도하는 피싱 및 스미싱 공격이 급증하고 있다.

[이미지=iclickart]


무엇보다 요즘 ‘방콕’ 족이 가장 기다리는 것 중 하나가 바로 택배다. 사람들이 많은 곳을 피하다 보니 백화점이나 마트를 방문하기 보다는 온라인 쇼핑을 통해 물건을 주문하면서 택배를 통한 상품 주문량이 크게 증가함에 따라 택배 관련 스미싱도 급증하고 있다.

보안 전문업체 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 최근 수집되는 택배 관련 스미싱 문자는 다양한 택배 회사를 사칭하고 있는 것으로 드러났다. 스미싱 문자의 대부분은 택배를 확인해 달라는 것과 택배가 반송됐으니 주소 등을 다시 확인해줄 것을 요청하는 내용이다. 또한, 문자 내용이 짧다는 점과 수상한 URL이 포함되어 있다는 점도 공통점이라고 할 수 있다.

▲최근 유포된 택배 관련 스미싱 문자들[자료=이스트시큐리티 ESRC]


반면, 정상적인 택배 관련 문자는 상품 관련 정보가 없는 스미싱 문자와 달리 배송되는 상품과 운송장 번호 등 자세한 정보를 제공하고 있다는 점이다. 또한, 정상 택배 문자에서 제공되는 URL들은 상품의 배송 정보를 조회할 수 있는 택배 회사의 공식 웹 페이지 링크이거나 구글 앱스토어의 배송 조회 앱 설치 페이지 링크이며, 배송 스케줄 문자의 경우는 스미싱 문자와 달리 URL 정보가 제공되지 않는다.

▲택배 회사들의 정상적인 택배 관련 문자[자료=이스트시큐리티 ESRC]


이렇듯 스미싱 문자와 정상적인 택배 회사들의 문자는 내용에 조금만 더 주의를 기울이면 충분히 스미싱 문자 여부를 파악할 수 있다.

또한, 최근 코로나19 사태로 인해 재택·원격 근무를 하고 있는 직장인들에게 가장 반가운 메일이라고 할 수 있는 구매 발주를 사칭한 피싱 메일도 유포돼 각별한 주의가 요구되고 있다.

▲구매발주 제목으로 유포된 이메일 화면[자료=이스트시큐리티 ESRC]


ESRC에 따르면 최근 싱가폴한인교회유치원에서 허위로 발주된 구매주문서로 사용자의 계정을 노리는 피싱 메일이 발견됐다. 해당 메일은 TT00, TT4.5 구매 주문에 대한 발주서를 첨부 파일로 추가했는데, ‘T T00 구매 주문 -009111.zip’, ‘T T4.5 구매 주문 -009111.zip’라는 압축(ZIP) 파일이 첨부되어 있다.

해당 메일을 받은 사용자가 구매 발주 확인을 위해 첨부파일을 다운로드하고 내부 파일을 실행할 경우, 공격자가 만들어둔 국내 포털사이트 다음의 가짜 로그인 화면으로 이동하는 것으로 드러났다. 피싱 타깃이 된 사용자가 가짜 로그인 페이지에 로그인 계정과 패스워드를 입력할 경우, 개인정보 수집 사이트로 전송되면서 개인정보가 탈취되는 것으로 분석됐다.

▲국내 포털사이트 다음 로그인 화면을 사칭한 개인정보 수집 사이트[자료=이스트시큐리티 ESRC]


이와 함께 코로나19 이슈를 노린 혹스(hoax) 메일도 유포된 것으로 확인됐다. ESRC에 따르면 이번에 유포된 혹스 메일은 코로나19 랜섬웨어처럼 위장하고 있지만, 암호화 행위를 하지 않는 일종의 사기 메일이라고 할 수 있다.

지난 3월 11일에 생성된 것으로 추정되는 혹스 메일은 COVID-19라는 파일명을 가지고 있는데, 해당 메일을 받은 사용자들이 hoax 파일을 실행하게 되면, 시스템 경고창으로 위장해 사용자에게 메시지를 띄우게 된다. 영어로 작성되어 있는 해당 문구는 ‘Just because you're home doesn't mean you're safe’라는 내용으로 최근 코로나19 사태 때문에 재택근무 형태로 일하는 사용자들의 상황을 공격자가 잘 알고 있다는 것을 보여준다.

이후 추가적인 경고창 메시지가 보이는데, 일부 경고창 메시지에서는 ‘Ransom’이라는 단어를 ‘Lansom’으로 표기한 오타가 보이기도 하는 등 허술한 측면이 많다는 지적이다. 무엇보다 파일 암호화가 실제로 진행되지 않는 혹스 메일이지만, 마치 랜섬웨어가 실행된 후 띄우는 랜섬노트와 같이 사용자 대상으로 복호화 비용을 요구하고 있다.

▲Hoax가 생성하는 Read_Me.txt 파일 내용. 10,000KRW 상당의 컬쳐랜드의 문화상품권 바코드를 요구하고 있다[자료=이스트시큐리티 ESRC]


특이한 점은 복호화 비용으로 한국 원화 10,000원 상당의 컬처랜드 문화상품권 바코드를 요구하고 있다는 점이다. 컬처랜드 문화상품권 바코드 요구는 기존 보이스피싱 조직들이 피해자들에게 실제 현금 이체 대신 많이 요구했던 방식으로 알려져 있다. 공격자가 컬처랜드 문화상품권 바코드를 현금 대신 요구하는 이유는 문화상품권 등의 소액의 피해에 대해서는 본격적인 수사가 이뤄지지 않을 가능성이 높고, 공격자가 컬처랜드 문화상품권을 구매하는 과정에 일절 관여하지 않기 때문에 추적이 쉽지 않다는 부분을 악용한 것으로 추정된다.

▲메신저를 통한 마스크 구매 관련 허위사이트 전달 화면[자료=이스트시큐리티 ESRC]


이 외에도 본지가 지난 3월 9일자(마스크 5부제 등 ‘대란’인데... ‘기승’ 부리는 온라인 사기 유형 5) 기사를 통해 경고했던 마스크 온라인 사기도 계속 발견되고 있다. 여러 마스크 온라인 사기 유형 가운데서도 인터넷 거래를 유도해 국내 포털 사이트 계정 등의 개인정보를 탈취하고 금전적인 이득을 취하는 중고마켓 사기가 자주 발견되고 있다.

해당 사기 유형의 경우 허위 마스크 판매자가 실제 중고마켓에 마스크 판매 글을 올려 직거래나 택배 판매는 안 되고 특정 메신저를 통해 연락을 유도하면서 사용자에게 허위 안전거래 사이트 링크를 전달하는 방식으로 접근하고 있다.

▲사용자 정보를 가로채기 위한 포털사이트 네이버 로그인 화면[자료=이스트시큐리티 ESRC]


이렇듯 코로나19 사태로 집에 있는 시간이 많아지면서 가장 자주 이용하거나 필요로 하는 택배나 마스크 구입, 재택근무 상황을 노린 피싱 및 스미싱이 극성을 부리고 있어 보다 면밀한 대응이 요구되고 있다. 이에 스미싱 문자를 예방하기 위해서는 △출처가 불분명한 문자를 수신한 경우 문자 내의 링크 클릭 자제 △링크를 클릭하기 전 정상 사이트의 도메인과 일치하는지 확인 △휴대폰 번호, 아이디, 비밀번호 등의 정보는 신뢰된 사이트에서만 입력하는 등의 보안수칙을 준수하는 것이 무엇보다 중요하다.

만약 실수로 악성 URL를 클릭했거나 악성 앱에 감염됐을 경우에는 △악성 앱을 다운로드만 했을 경우 파일 삭제 후 신뢰할 수 있는 백신 앱으로 검사 수행 △악성 앱을 설치했을 경우 신뢰할 수 있는 백신 앱으로 검사 및 악성 앱 삭제 △백신 앱이 악성 앱을 탐지하지 못했을 경우에는 백신 앱의 신고하기 기능을 사용해 신고한 후, 수동으로 악성 앱 삭제 등의 조치를 신속하게 취해야 한다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)