민원24, 택배, 이벤트 사칭한 스미싱 주의
스미싱(Smishing)의 뜻
스미싱이란 SMS와 피싱(phishing)의 합성어로, 문자 메시지를 이용한 피싱을 말한다. 피해자의 관심, 호기심, 걱정 등을 유발하는 내용으로 악성 링크 클릭을 유도하여, 개인 정보를 탈취하거나 악성코드를 설치한다.정부의 온라인 민원 사이트인 '민원24'를 사칭하는 스미싱은 연중 꾸준히 발견된다. 몇가지 예를 보면 "층간소음으로 민원이 접수되어 안내드립니다", "음식물 분리수거 위반으로 민원이 신고되었습니다", "쓰레기 방치 및 투기로 신고되어 안내드립니다" 등 내용과 함께 링크가 들어있다.
그러나 정상적인 민원24의 문자에는 링크가 없다. "정부24>MyGov>나의민원에서 확인바랍니다" 하는 식으로 경로를 안내할 뿐 링크가 직접 들어있지는 않다.
택배 배송 불가, 택배 배송 조회, 명절 안부 인사, 유명 업체 이벤트 등도 많이 발견되는 유형이다.
안드로이드에서 drive-by download 공격
만약, 스미싱 링크를 클릭했다면 어떻게 될까? 뉴스에서는 대부분 "스미싱 문자메시지 내 인터넷 접속 주소를 클릭하면 악성코드가 설치돼 모르는 사이에 소액결제가 발생하거나 개인 금융정보가 유출될 수 있다"(참고 자료 1) 라는 식으로 설명한다. 오해의 소지가 있다고 생각한다.사용자의 추가적인 행위 없이 악성 사이트 방문만으로 자동으로 악성코드가 설치되게 하는 공격 방법을 드라이브 바이 다운로드라고 한다. 운영체제, 브라우저, 기타 프로그램의 취약점을 이용하는 것이다. Windows에서는 종종 발생한다.
그러나, 안드로이드에서 드라이브 바이 다운로드 방식의 공격이 성공하려면 2가지 조건이 충족되야 한다.
첫째, '알 수 없는 소스'에서의 앱 설치가 허용되어야 한다. 이 옵션은 안드로이드 보안 정책상 기본적으로 차단되어 있다.
둘째, 사용자의 승인이 있어야 한다. 첫째 요건이 충족되면 악성 사이트에서 앱이 자동으로 다운로드될 수 있다. 그러나 사용자의 수락 없이 자동으로 설치되지는 않는다.
결국, 사용자의 부주의가 없이는 악성 앱이 자동으로 설치될 수 없는 것이다. 엄밀히 말해서 안드로이드에서는 드라이브 바이 다운로드 공격은 성립되지 않는다.
페가수스(Pegasus)라는 강력한 스파이 앱을 예로 들어 본다. 이것은 이스라엘의 NSO 사에서 개발해 판매하는 고도의 스파이웨어 앱으로 2016년에 발견됐다. 페가수스의 iOS 버전은 제로데이 취약점을 이용해 사용자 몰래 설치된다. 그러나 안드로이드 버전은 프라마루트(Framaroot)라는 루팅 툴을 이용해 설치된다. 사용자 몰래 설치하는 것은 불가능하다는 얘기다.
2019.10월 업데이트
그러나 이제 생각을 바꿨다. 아이폰과 안드로이드 스마트폰의 원격 코드 실행(RCE, remote code execution) 취약점을 이용한 해킹 사례가 늘고 있다(관1). 악성 링크 클릭만으로도 악성코드가 설치될 수 있으므로, 신뢰할 수 없는 링크를 클릭하지 않도록 주의해야 한다.관련 자료
참고 자료
댓글
댓글 쓰기