본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.


 


스미싱 공격이 꾸준히 진행되고 그 형태도 고도화되고 다양해 지고 있어, 많은 사용자들의 피해가 지속되고 있습니다. 

 

스미싱 공격에 당했을 경우, 가장 효과적인 방법은 휴대폰 공장 초기화 입니다. 공장 초기화를 진행하면 휴대폰에 설치된 악성 앱이 모두 삭제되기 때문에 더 이상 걱정하실 필요는 없습니다.

 

하지만 경우에 따라 휴대폰 공장 초기화가 불가한 경우도 있습니다. 이에 ESRC에서는 최근 유포되고 있는 스미싱 문자의 유형을 정리하고, 악성앱 설치하였을 경우 대처 방안에 대해 알려드리고자 합니다. 

 

 

스미싱 유형

 

1) 무단 결제 위장 스미싱

 

[그림 1] 무단 결제 위장 스미싱

 

무단 결제가 되었다는 내용으로 사용자를 속여 고객센터로 전화를 하도록 유도하는 스미싱 입니다. 만일 사용자가 고객센터로 전화를 하면, 악성앱을 설치하도록 유도합니다. 

 

※ 관련 글 보기

▶ 해외결제를 위장한 스미싱 지속적 유포중!

 

 


2) 택배사, 교통법규위반, 건강검진 등 사칭 스미싱

[그림 2] 택배사 및 교통법규위반 스미싱

 

택배사, 교통법규위반 등의 내용을 사칭하여 발송되는 스미싱입니다. 이러한 스미싱의 내용은 수시로 변하지만 일반적으로 문자 내 링크가 포함되어 있다는 특징이 있습니다. 해당 링크를 클릭하면, 공격자가 제작해 놓은 특정 피싱 페이지로 이동하며, 피싱 페이지에서 휴대폰 번호, 이름, 생년월일 정보를 수집하고 다음 단계에서 악성 앱을 내려주어 설치하도록 유도합니다. 

 

 

※ 관련 글 보기

▶ 교통법규 위반, 과속운전 벌점 내용으로 유포중인 스미싱 주의!

▶ 검증 로직이 추가된 택배사 사칭 스미싱 주의!

 


 

3. 저금리 대출 사칭 스미싱

[그림 3] 저금리 대출 사칭 문자

 

급격한 금리상승과 코로나 여파로 힘든 취약계층을 노린 스미싱입니다. 정부기관 혹은 은행을 사칭하여 사용자를 현혹할만한 내용으로 유포하며, 사용자가 문자 내 포함되어 있는 번호로 전화를 하면 악성 앱 설치를 유도합니다. 

 

 

※ 관련 글 보기

▶ 코로나 대출 사기! 경기 침체를 노린 악성 앱 분석

 

감염 시 대처 방안

 

 

악성 앱에 감염되게 되면, 일반적으로 다음과 같은 정보들을 탈취합니다. 

 

-SMS
-설치되어 있는 앱 리스트
-연락처
-위치정보
-통화목록
-기기 정보

 


뿐만 아니라 다음과 같은 기능도 수행할 수 있습니다. 

 

- 통화 발신, 착신, 가로채기, 강제종료
- SMS 읽기, 보내기, 가로채기
- 연락처 삭제, 추가, 변경
- 녹음파일로 저장 및 실시간 도청
- 블루투스 상태 변경
- 와이파이 상태 변경
- C2 명령 수행
- 앱 추가 설치 및 삭제

 

 

즉, 악성 앱을 설치함과 동시에 사용자 휴대폰은 공격자에 의해 모두 제어되기 때문에, 최대한 빨리 해당 악성 앱을 사용자 휴대폰에서 제거해야 합니다. 

 

악성 앱들도 다른 앱들처럼 삭제를 하면 더 이상 위험하지 않습니다. 다만, 일부 악성 앱들의 경우 사용자 휴대폰에서 지속적인 생존을 위하여 여러가지 트릭을 사용하여 삭제를 어렵게 합니다.

 

 

1) 악성 앱을 설치하였는데 아이콘이 보이지 않아 삭제를 할 수 없는 경우

 

공격자들은 사용자들의 삭제를 어렵게 하기 위하여 악성앱을 디스플레이에서 숨겨놓는 경우가 있습니다. 
이런 경우, 설정 - 애플리케이션에 들어가셔서 삭제를 진행해 주셔야 합니다. 

 

 

설정 - 애플리케이션 - 악성 앱 선택 및 제거 (삼성 zfilp3 기준)

 

 

 

 

2) 악성 앱 아이콘은 보이지만 삭제가 불가능 할 경우

 

악성앱이 기기관리자 권한으로 설치 되었을 경우, 사용자가 임의로 삭제가 불가 합니다.

이런 경우, 해당 앱이 갖고있는 기기관리자 권한을 해제 후 삭제를 진행해야 합니다. 



설정 - 생체 인식 및 보안 - 기타 보안 설정 - 기기 관리자 앱 (삼성 zfilp3 기준)

 

 

악성 앱이 휴대폰에서 제거되면, 더 이상 악성행위를 하지 못하기 때문에 따로 공장초기화를 할 필요는 없습니다. 

 

 

3) 설치된 악성 앱이 추가로 다른 악성 앱을 내려받은 경우

 

악성 앱들의 기능 중에는 앱 설치 기능도 포함되어 있어, 사용자 모르게 추가적인 악성 앱을 내려받아 설치할 수 있습니다.

 

이런 경우, 사용자가 설치한 악성 앱 뿐만 아니라 악성 앱이 추가로 내려받은 악성 앱들도 함께 삭제해야만 공격자의 공격에서 완전히 자유로워 질 수 있습니다. 

 

다른 악성 앱이 추가로 악성 앱을 내려받은 지 여부는 애플리케이션 메뉴에서 확인하실 수 있으며, 만일 사용자 자신이 설치하지 않은 앱이 최상단에 있다면 악성 앱으로 판단하여 삭제하시면 됩니다.

 

설정 - 애플리케이션 - 필터 및 정렬 - 최근 사용 이력 (삼성 zfilp3 기준)

 

 

 

 

 

악성 앱을 설치하였을 경우 가장 효과적인 방법은 공장 초기화 입니다. 다만, 휴대폰 공장 초기화를 할 수 없는 경우, 사용자들이 취할 수 있는 조치방법에 대해 안내해 드렸습니다.

 

악성 앱을 삭제하였다 하더라도 사용자 휴대폰에 저장되어 있던 정보들이 이미 공격자에게 유출되었기 때문에, 보안카드, 비밀번호와 같은 중요 정보들이 저장되어 있었을 경우 최대한 빨리 변경하시기를 권고 드립니다. 또한, 알약 M과 같은 신뢰할만한 모바일 백신을 사용하여 스미싱 공격을 예방하시기 바랍니다.