ESRC 2월 스미싱 트렌드 보고서
2월의 주요 스미싱 공격은 택배를 키워드로 하는 스미싱이 주도하고 있습니다. 택배를 키워드로 하는 스미싱 공격은 74.78%로 1월 대비 4.69% 정도 감소했습니다.
뒤를 이어 건강검진을 키워드로 하는 스미싱 공격이 13.57%를 차지하고 있으며 1월 대비 4.97% 감소했습니다. 이들 주요 스미싱 공격들이 소폭 감소한 대신 다른 스미싱 공격들이 증가 추세를 보이고 있습니다.
보이스피싱을 유도하는 내용의 스미싱 공격이 6.61%, 수사기관을 사칭하는 스미싱 공격은 4%, 마지막으로 공공기관을 사칭하는 스미싱 공격이 1.04%를 차지하고 있습니다.
위의 통계를 통해 택배 스미싱은 여전히 공격자들이 선호하는 키워드 임을 알 수 있으나 다른 유형의 키워드를 활용하는 스미싱도 증가세에 있음을 알 수 있습니다.
2월의 스미싱 트렌드를 살펴보도록 하겠습니다.
ESRC에서 수집 한 2월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다.
2월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다.
키워드 | SMS 내용 |
택배 | 택배 도착, 주소지 오류 등의 문구로 구성 |
건강검진 | 건강 검진 결과 등의 문구로 구성 |
보이스피싱 | 피해자 전화를 유도하는 문구로 구성 |
수사기관사칭 | 수사 기관을 사칭하여 관심을 유도하는 문구로 구성 |
공공기관사칭 | 공공 기관을 사칭하여 관심을 유도하는 문구로 구성 |
[표 1] 수집 스미싱 문자들의 키워드 기반 분류
다음 그림은 스미싱 키워드 별 발견 비율을 보여주고 있습니다.
[그림 1] 스미싱 키워드 별 비율
그림을 살펴보면 대부분의 스미싱 공격이 택배 키워드를 활용하고 있음을 알 수 있습니다.
공격 비율은 택배 스미싱 문자가 74.78%를 차지하고 있으며 건강검진 스미싱이 13.57%, 보이스피싱을 유도하는 스미싱 공격이 6.61%, 수사기관을 사칭하는 스미싱 공격이 4%, 마지막으로 공공기관을 사칭하는 스미싱 공격이 1.04%를 차지하고 있습니다.
다음 그림은 발견된 스미싱 문자들의 화면입니다.
[그림 2] 스미싱 문자
이어서 각 키워드 별 주요 스미싱 문자들을 살펴보도록 하겠습니다. 발견 비율은 스미싱 키워드 별로 분류된 문자 내에서의 비율입니다. 가장 많이 발견되고 있는 택배 스미싱 문자부터 살펴보도록 하겠습니다.
다음 표는 발견 비율이 높은 상위 10개의 택배 스미싱 문자들을 정리한 것입니다.
택배 | 발견비율 |
▷고객님 택배 배송 실패 주♡ 소오류 즉 시수 정해 :주:세요. hxxps://is[.]gd/xxxxxx | 8% |
고객님 상품 배송 불가 ;주;소 오류 즉시 ;주;소 변경:[ hxxps://shrtlnk[.]dev/xxxxxx ] | 6.9% |
[대한통운]고객님 택배 배송 실패 주소 부정확 즉시 주소 변경 부탁드립니다.[ xxx.xxxxxxxx[.]com/xxxxxx ] | 6.2% |
[Web발신] 구매하신 상품은 우체국에스 배송한것입니다 본인 확인 부탁드립니다 bit[.]ly/xxxxxx | 5.5% |
[대한통운]고객님 택배 배송 실패 즉시 주 소변경 부 탁드립니다.[ xxx.xxxxxxxx[.]com/xxxxxx ] | 5.3% |
[대한통운] 고객님 택배 배송 이상 즉시 주소 변경 부탁드립니다.[ xxx.xxxxxxxx[.]com/xxxxxx ] | 4.8% |
[대한통운] 고객님 택배 배송 실패 즉시 주.소 변경 부탁드립니다.[ xxx.xxxxxxxx[.]top ] | 4.6% |
[대한통운] 고객님 물품 배달불가 :주: 소오류 즉시 주 소변경: hxxps://kutt[.]it/xxxxxx | 4.4% |
[대한통운]고 객님 아이템 배송 불가 주♡소 오류 즉시 주♡소 변경:[ xx.xxxxxxxx[.]top ] | 3.2% |
▶고객님 물품 배달 불가 주;소 오류 즉시 수령 주;소 변경:hxxps://shrtlnk[.]dev/xxxxxx | 3% |
[표 2] 택배 스미싱
위 표의 스미싱 문자를 살펴보면 전체적인 내용은 비슷하지만 몇 개의 단어를 바꾸거나 띄어쓰기, 특수 문자 등을 추가하여 다른 문장처럼 보이도록 했음을 알 수 있습니다.
최근의 택배 스미싱들은 과거보다 내용의 변화가 활발하지는 않은 것으로 판단됩니다.
다음은 건강검진 스미싱 문자들을 정리한 것입니다.
건강검진 | 발견비율 |
[Web발신][건강보험공단] 검진통지서발송. 내용보기[xx.xxxx[.]top] | 29% |
[건강검사센터]검진진단서 내용발송. 상세보기[xx.xxxx[.]Life] | 24% |
[Web발신][국민건강보험]검진진단서 내용발송.상세보기[xx.xxxx[.]cLub] | 19% |
[Web발신][건강보험공단]건강검진 (보고서) 발송완료.내용보기:xx.xxxx[.]top | 8.9% |
[Web발신][건강보험공단]검진진단서 내용발송.상세보기:xx.xxxx[.]fit | 5% |
[표 3] 건강검진 스미싱
건강검진 스미싱 공격은 1월 대비 소폭 감소했으나 오미크론의 확산세가 심상치 않았던 시기라 꾸준히 공격이 이어지고 있습니다.
다음은 보이스피싱을 유도하는 스미싱 문자들을 살펴보겠습니다.
보이스피싱 | 발견비율 |
[국외발신]okmall[해외배송] ***님 2월24일 975,000원 결제완료 물류센터:050-xxxx-xxxx | 8% |
[국제발신][요청하신 결제금액] KRW 959,000 정상처리 되었습니다 고객센터 문의 050-xxxx-xxxx | 7.9% |
[국제발신]고객님[해외구매] 1,198,000원 결제완료 03/14 11:35배송예정 본인아닐시 문의:02-xxx-xxxx | 7.8% |
[국외발신]OOO님 승인안내:795,000원 결제완료.(본인아닐시 소비자원 050-xxxx-xxxx으로 신고바랍니다.) | 7.8% |
[국제발신][해외구매] 승인번호:7**5 KRW 467,200원 결제완료 본인아닐시 즉시 소비자센터 신고 문의:02-xxxx-xxxx | 5.2% |
[표 4] 보이스피싱 유도 스미싱
기존의 스미싱과 달리 악성 앱을 유포하는 url 대신 공격자의 전화번호를 포함하고 있는 특징이 있습니다. 이는 문자를 통해 악성 앱을 유포하는 대신 전화 통화를 유도하여 악성 앱을 유포하는 방식입니다.
피해자는 특정 쇼핑몰 등의 고객센터로 착각하여 공격자가 안내하는 특정 사이트에 접속하게 되며 이 사이트를 통해 악성 앱을 설치하게 됩니다.
다음은 수사기관을 사칭하는 스미싱 문자들을 살펴보겠습니다.
수사기관사칭 | 발견비율 |
[Web발신][교통법규위반통지]차량위반운행 벌점보고서 hxxp://xxxxxx.xxxxx[.]guru | 13% |
[Web발신][교통민원24]교통법규위반행위 벌점 6점 처벌 고지서 발송완료 hxxp://xxx.xxxxx[.]kr | 13% |
[Web발신][위반통지]2022/2/6 주차위반 벌점처리통지서 hxxp://xxxx.xxxxx[.]guru | 8.6% |
[Web발신][교통민원24]법규위반과속운전자동차벌점보고서 hxxp://xxxx.xxxxx[.]kr | 4% |
[Web발신][교통관리센터]차량위반운행과태료고지서 hxxp://xxxx.xxxxx[.]fun | 4% |
[표 5] 수사기관사칭 스미싱
교통 법규를 위반했다는 내용의 스미싱으로 운전을 하시는 분들은 쉽게 착각을 일으킬 수 있는 내용으로 구성되어 있다.
다음은 공공기관을 사칭하는 스미싱 문자들을 살펴보겠습니다.
공공기관사칭 | 발견비율 |
[Web발신]국민연금 지급 완료 본인 조회 hxxp://xxxxx.xxxxx[.]fun | 66% |
[표 6] 공공기관사칭 스미싱
연금을 지급한다는 내용의 스미싱으로 누구나 혹할 수 있는 내용으로 구성되어 있다.
다른 악성 앱 공격도 그렇겠지만 스미싱 공격 또한 사전 예방이 가장 중요합니다. 스마트폰을 사용하시는 분들은 스스로 보안의식을 고취시킬 필요가 있으며 스미싱에 대한 경각심을 가져야 하겠습니다.
스미싱의 예방 방법은 비교적 간단합니다. 문자 내의 URL 링크를 클릭하지 않거나 다운로드한 악성 앱을 설치하지 않으면 됩니다. 그리고 알약M과 같이 신뢰할 수 있는 백신 앱을 설치하여 사용하는 것도 피해를 예방하는 데 도움이 됩니다.
[그림 3] 구글 플레이 스토어 - 알약M 설치 페이지
알약M의 악성 앱 탐지 화면
[그림 4] 스미싱 악성 앱 탐지 화면