ESRC 11월 스미싱 트렌드 보고서
11월은 본격적인 위드 코로나의 시행과 함께 택배 스미싱이 공격을 주도했습니다. 택배를 키워드로 하는 스미싱 공격은 71.49%로 10월 대비 50% 정도 증가했습니다.
지난 9월 최다 공격 스미싱 키워드가 건강검진으로 바뀐 후 2개월 만에 다시 택배가 최다 공격 스미싱 키워드로 바뀐 것입니다. 반면에 건강검진을 키워드로 하는 스미싱 공격은 23.22%로 10월 대비 63% 정도 감소하였습니다.
주요 스미싱 공격 키워드가 건강검진에서 다시 택배로 전환되었음을 알 수 있습니다.
11월의 스미싱 트렌드를 살펴보도록 하겠습니다.
ESRC에서 수집 한 11월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다.
11월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다.
키워드 | SMS 내용 |
택배 | 택배 도착, 주소지 오류 등의 문구로 구성 |
금융 | 대출, 본인 인증과 연관된 문구로 구성 |
건강검진 | 건강 검진 결과 등의 문구로 구성 |
수사기관 | 수사 기관을 사칭하는 문구로 구성 |
[표 1] 수집 스미싱 문자들의 키워드 기반 분류
다음 그림은 스미싱 키워드 별 발견 비율을 보여주고 있습니다.
[그림 1] 스미싱 키워드 별 비율
그림을 살펴보면 대부분의 스미싱 공격이 택배와 건강검진 관련 키워드를 활용하고 있음을 알 수 있습니다.
공격 비율을 살펴보면 택배 스미싱 문자가 71.49%를 차지하고 있으며 이어서 건강검진 스미싱이 23.22% 이어서 금융 관련 스미싱이 4.75%를 차지하고 있으며 마지막으로 수사기관을 사칭하는 스미싱 공격이 0.43%를 차지하고 있습니다.
다음 그림은 발견된 스미싱 문자들의 화면입니다.
[그림 2] 스미싱 문자
각 키워드 별 주요 스미싱 문자들을 살펴보도록 하겠습니다. 발견 비율은 스미싱 키워드 별로 분류된 문자 내에서의 비율입니다. 가장 많이 발견되고 있는 택배 스미싱 문자부터 살펴보도록 하겠습니다.
다음 표는 발견 비율이 높은 상위 10개의 택배 스미싱 문자들을 정리한 것입니다.
택배 | 발견비율 |
[대한통운]고객_에게연락할/수/없으니배송정/보/확인해:주:세요 [ bit[.]ly/xxx ] | 83% |
화물 반송처리중 주소지 확인부탁드립니다 hxxp://shorturl[.]at/xxxxx | 4.6% |
[대한통운]고 객 에 게연 락할♥수♥없 으니배.송 정/보/ 확 인해.주세요:[☞ hxxps://lrl[.]kr/xxxx ] | 1.8% |
고객님 상점에 결제하신물품 배송햇습니다 확인부탁합니다 hxxp://hxxp://xxxxx.xxxxx[.]com | 1.6% |
[CJ대한통운](알림문 자) 09/05 배 송예정 물품/.주.소확인바랍니다.▶ [ bit[.]ly/xxxxxx ] | 0.9% |
고객님이 "주"문하신 상품은 내일 15~17시 배송될예정입니다:[ xx.xxxxxxxx[.]com ] | 0.6% |
상품 택배보냈습니다 확인부탁합니다 asq[.]kr/xxxxxxxx | 0.4% |
[CJ대한통운]주소지미확인으로반송물품(1건)주소재확인바람:[ bit[.]ly/xxxxxx ] | 0.4% |
한국암웨이 ( 711********16 )을[ 현관문앞 ]에 배송하였습니다.-CJ대한통운:【 bit[.]ly/xxxxxx 】 | 0.4% |
택배확인 부탁드립니다 확인해주세요hxxps://han[.]gl/xxxxx | 0.3% |
[표 2] 택배 스미싱
택배 스미싱 공격이 증가세에 있습니다. 위드 코로나와 함께 스미싱 공격의 키워드를 건강 검진에서 다시 택배로 전환하는 것으로 판단됩니다.
그러나 택배 스미싱 공격이 활발하게 이루어질 때와는 다르게 문자 내용의 변화 빈도가 적은 것으로 미루어 아직 본격적인 택배 스미싱 공격이 이루어지고 있는 것이 아닌 것으로 판단됩니다. 이는 특정 포맷의 택배 스미싱 공격이 대다수를 이루고 있는 것으로 알 수 있습니다.
다음은 건강검진 스미싱 문자들을 정리한 것입니다.
건강검진 | 발견비율 |
[Web발신][질병관리청]검진보고서 발송완료.내용확인:xx.xxxxxx[.]Live | 36% |
[Web발신]<질병청관리청>건강검진 통보서확인하기[xx.xxxx[.]tech] | 23% |
[Web발신][국 민 건 강 보 험 공 단]검 진 (보고서) 내역전송.확인하기:xxxx.xxxx[.]tech | 12% |
[Web발신][건강보험공단]검진통보서 정상발송.내용조회:xx.xxxxxx[.]Live | 12% |
[Web발신][국가보험공단]종합진검진내용 발송완료.결과조회[xxx.xxxx[.]cool] | 6% |
[국가보험공단]통지서 발송완료.조회하기:xx.xxxx[.]top | 3% |
[※행정안전부※]검→진통보 발송완료.내용안내:xxx.xxxx[.]cash | 2.8% |
[Web발신] [국민보험공단] 진단보고서 발송완료. 내용확인:xx.xxxx[.]host | 2.3% |
[Web발신][건 강 보 험 공 단]종합검사 통지서내용:xxx.xxxx[.]sale | 1.3% |
[Web발신] 2021 건강검진 대상자 조회 확인 (+검사 항목) z100[.]io/xxxxx | 0.9% |
[표 3] 건강검진 스미싱
건강 검진 관련 스미싱 공격은 10월까지 코로나 확산세를 이용하여 공격 횟수가 대폭 증가했었습니다. 그러나 최근 위드 코로나 등의 영향으로 다시 감소하고 있는 것으로 판단됩니다.
다음은 금융 기관을 사칭하는 스미싱 문자들을 살펴보겠습니다.
금융 | 발견비율 |
<OOO뱅크> 고유코드로 발급된 모바일 신청서 입니다. hxxp://xxx.xx.xxx[.]104 결과확인후연락 드리겠습니다 | 7% |
안녕하세요 OOO대리입니다 저희 OO은행 신청서 보내드립니다(다운로드 해주시고 말씀부탁드릴게요) hxxp://xxx.xxx.xxx[.]47:7777/download/ | 7% |
hxxp://xxx.xx.xx[.]7/dsuiyre/ 상담도와드린 OOO 대리입니다 설치후 신청서 작성해주시고 바로 답변주세요 | 6% |
[OOO저축은행] 모바일 신청으로 더 낮아지는 금리 hxxp://xxx.xxx.xxx[.]98/sbiFdp270/ | 6% |
OO은행 접수팀 <oo은행> 휴대폰인증서비스 hxxp://x.xxx.xxx[.]189 | 6% |
[표 4] 금융 기관 사칭 스미싱
금융 기관을 사칭하는 스미싱 공격은 꾸준하게 발견되고 있으며 1 금융권부터 저축은행, 심지어 핀테크 은행까지 가리지 않고 사칭하고 있습니다.
다음은 수사 기관을 사칭하는 스미싱 문자들을 살펴보겠습니다.
금융 | 발견비율 |
[Web발신][교통법규위반]교통법규 위반 벌점 부과 통지서 hxxp://t2m[.]kr/xxxxx | 50% |
[표 5] 금융 기관 사칭 스미싱
수사 기관을 사칭하는 스미싱 공격은 공격 빈도가 높진 않으나 금융기관 사칭과 마찬가지로 꾸준하게 진행되는 공격입니다.
길어지는 코로나 시국으로 인해 경제적인 어려움을 겪고 계신 분들이 주로 금융기관 사칭 스미싱의 위협에 노출될 확률이 높을 수 있습니다. 이에 한층 더 각별한 주의가 필요할 것으로 생각됩니다.
다른 악성 앱 공격도 그렇겠지만 스미싱 공격 또한 사전 예방이 가장 중요합니다. 스마트폰을 사용하시는 분들은 스스로 보안의식을 고취시킬 필요가 있으며 스미싱에 대한 경각심을 가져야 하겠습니다.
스미싱의 예방 방법은 비교적 간단합니다. 문자 내의 URL 링크를 클릭하지 않거나 다운로드한 악성 앱을 설치하지 않으면 됩니다. 그리고 알약M과 같이 신뢰할 수 있는 백신 앱을 설치하여 사용하는 것도 피해를 예방하는 데 도움이 됩니다.
[그림 3] 구글 플레이 스토어 - 알약M 설치 페이지
알약M의 악성 앱 탐지 화면
[그림 4] 스미싱 악성 앱 탐지 화면