[아이티데일리] 피싱방지 솔루션 ‘페이크파인더’를 운영하는 에버스핀(대표 하영빈)은 SK텔레콤(SKT) 유심(USIM) 해킹 사태로 빚어진 혼란을 틈타 악성 앱 공격이 시도된 정황을 포착했다고 8일 밝혔다.

회사에 따르면, 해킹 사고 이후 등장한 악성 앱 피싱 시나리오는 피해자 심리를 계산해 설계된 공격 형태를 띤다. 또 실제 존재하는 정식 앱이나 브랜드명으로 위장한 앱을 유포했다.

먼저 피싱범은 피해자에게 전화를 걸거나 메시지를 보내 ‘SKT 유심 해킹 피해 여부를 점검해 주겠다’, ‘기기가 해킹된 것 같다’는 식으로 접근한다. 그 뒤 사용자 기기 보안을 도와준다는 명목으로 원격 제어 앱(애니데스크) 설치를 유도한다.

그다음 피싱범은 원격 접속을 통해 악성 앱을 압축파일 형태로 단말기에 전송한다. 압축파일을 해제해야만 문서를 볼 수 있다는 이유로 ‘알집’과 같은 압축해제 프로그램 설치를 유도한다.

압축을 해제하면 ‘피해구제국’과 ‘SK쉴더스’라는 이름의 악성 앱이 연달아 설치된다. 피해구제국은 개인정보를 수집하며 SK쉴더스는 사용자가 금융기관이나 경찰청에 전화를 시도할 때 통화를 범죄자가 가로채는 기능을 수행한다.

여기서 ‘SK쉴더스’라는 이름의 악성 앱은 실제 보안 회사와 무관하다. 에버스핀 측은 SKT와 연관성을 노려 해당 기업명을 악용한 것으로 추정했다.

에버스핀이 확보한 실제 기록에 따르면, 악성 앱 4종(애니데스크, 알집, 피해구제국, SK쉴더스)은 단 10분 이내에 순차적으로 설치됐다. 공격의 자동화와 속도 또한 높은 수준으로 분석돼 범죄 조직이 치밀히 준비했음을 확인할 수 있다.

회사는 “4개 앱이 10분 안에 모두 설치됐다는 것은 경계심을 무너뜨리는 사회공학 기법이 성공적으로 작동한다는 방증”이라며 “피싱 범죄 조직은 이슈에 맞춰 가장 잘 통할 시나리오를 신속히 구현하고 있다”고 분석했다.

에버스핀이 확보한 데이터에 의하면 아직 유심 복제 및 신규 기기의 수치상 급증은 나타나지 않았다. 하지만 피싱범의 공격 방식이 SKT 해킹 사고를 이용한 타깃 침투형으로 빠르게 전환하고 있는 점은 파악됐다.

불특정 다수를 대상으로 하는 대량 문자 스미싱과 달리, 타깃 침투형은 전화, 앱 설치, 통화 도청까지 연결되는 범죄 방식이기에 피해자가 피해 사실을 인지하지 못할 수 있다.

에버스핀 측은 “악성 앱 정보는 한국인터넷진흥원에 전달했다”며 “대규모 사회적 혼란 속 피싱 범죄를 빠르게 진화하며 유사 사례는 앞으로도 끊임없이 발생할 것”이라고 주의를 당부했다.