최근 스미싱용 악성 애플리케이션(앱)이 국내 클라우드 서비스를 악용하는 등 점차 지능화되고 있는 것으로 나타났다. 또 특정 시간에 앱 업데이트 메시지를 노출하며 추가로 악성 앱을 배포하는 형태도 등장해 사용자 주의가 필요하다.

9일 보안업계에 따르면 국내 공공기관, 사정기관을 사칭한 스미싱 앱이 국내 클라우드 서비스를 악용해 배포되고 있다.

악용된 클라우드 서비스는 SK플래닛의 T클라우드, 나무기술의 나무클라우드 등이며 과거 사용됐던 드롭박스와 동일한 형태로 배포되고 있다.

 

이러한 형태는 국내 사용자들이 인지하고 있는 주소를 사용한다는 점에서 무심결에 설치할 확률이 높다.

보안업계 관계자는 “최근 국내 인터넷서비스의 가입이 매우 쉬워짐에 따라 이를 악용해 스미싱에 활용하는 공격이 증가하고 있다”며 “다행스럽게도 국내 클라우드 서비스는 드롭박스와 같은 해외 서비스와 달리 발견 즉시 조치가 가능해 큰 피해로 이어지진 않을 것으로 보인다”고 전했다.

 

이 관계자에 따르면 T클라우드나 다음클라우드와 같은 국내 서비스들은 스미싱 앱 배포가 시작되자마자 차단된다고 한다. 다만 타깃형 공격은 쉽게 탐지가 불가능해 오랜 시간동안 악용될 가능성이 있다고 설명했다.

스미싱 차단 앱을 우회하기 위한 새로운 배포형태도 발견됐다.

일반적인 스미싱 수법은 문자메시지를 보내 사용자가 직접 악성 앱을 내려받도록 했다. 하지만 최근에 발견된 형태는 악성 앱을 배포하지 않고 특정 시간대에 알림창을 노출하는 형태다.

 

공격자는 무료게임이나 유틸리티로 가장한 앱에 그 기능을 탑재해둔다. 특별한 악성행위도 하지 않고 알림창을 노출하는 기능만 갖췄기 때문에 모바일백신이나 스미싱 차단 앱으로도 쉽게 발견되지 않는다.

이후 해당 앱은 알림창을 통해 ‘새로운 버전의 스마트뱅킹 앱이 출시됐으니 업데이트를 하라’는 내용을 노출한다. 사용자가 확인 버튼을 클릭하는 순간 스미싱용 악성 앱을 내려받고 설치하게 된다. PC에서 활용되던 트로이목마 형태의 악성 앱인 셈이다.

특히 설치되는 과정에서도 모바일백신이 구동되고 있는 것처럼 이미지를 노출하기 때문에 속기 쉽다.

이와 같은 형태는 공격자가 특정 시간대에만 동작하도록 만들었기 때문에 사용자가 언제, 어떤 이유로 피해를 입었는지 인지하기가 힘들다.

 

이러한 피해를 사전에 예방하기 위해서는 우선 문자메시지에 첨부된 링크를 클릭하지 않는 것이 제일 중요하다. 또 안드로이드 보안설정에 있는 ‘알려지지 않은 소스에서 설치’ 옵션을 비활성화 해 두면 피해를 최소화할 수 있다.