[아이티데일리] 올해 봄철 결혼 성수기를 노려 청첩장으로 위장한 피싱 공격이 기승을 부린 것으로 나타났다. 공격자는 피싱 문자로 피해자를 속인 뒤 악성 앱을 설치하도록 만들고 스마트폰 내 개인정보 등을 탈취했다.

안랩의 조사 결과 2025년 2분기(4~6월) 가장 많이 발생한 피싱 문자 공격 유형은 ‘청첩장 위장(28.10%)’이었다. 이어 △구인공고 위장(18.69%) △금융기관 사칭(15.03%) △대출 상품 안내 위장(14.66%) 등이 뒤를 이었다.

특히 청첩장 위장 유형은 직전 분기 대비 1,189%나 급증했다. 안랩은 결혼 성수기인 봄철에 모바일 청첩장에 대한 경계심이 낮아지는 점을 노린 공격이 늘어난 결과라고 분석했다.

공격자는 모바일 청첩장을 빙자한 링크(URL)를 넣어 사용자를 피싱 페이지로 유도한 뒤 악성 앱 등을 설치하도록 만들어 추가 공격을 이어간다. 가령 페이지 내 사진 등 각종 요소에 앱 다운로드 버튼을 숨겨놓고 사용자가 모르는 사이 앱이 설치되도록 유도했다.

실제로 모바일 안티바이러스 ‘온백신(OnAV)’을 운영하는 시큐리온은 지난 3월 7일부터 5월 16일까지 약 70일간 자체 채널을 통해 청첩장 위장 유형의 악성 앱 파일 177개를 수집했다. 이 악성 앱들은 스마트폰에 저장된 연락처와 SMS, 기기 정보 등을 탈취했다.

악성 앱에는 복잡한 은닉 기법이 적용됐다. 시큐리온에서 발견한 ‘파워(power)’란 이름의 앱은 설치 과정에서 사용자에게 ‘배터리 절전모드 예외’ 설정을 요청해 악성 기능이 상시 실행되도록 만들었다.

설치 후 클릭하면 ‘사이트 점검 중’이라는 가짜 화면을 표시해 사용자가 앱을 종료하도록 유도했다. 가짜 화면이 나타나는 사이 스마트폰 바탕화면에 있는 앱 아이콘은 투명하게 숨겨졌다.

공격자는 가짜 화면을 보고 대수롭지 않게 앱을 종료한 피해자 대다수가 아이콘이 사라진 사실을 인식하지 못한다는 점을 노렸다. 이러한 과정을 통해 악성 앱은 피해자의 스마트폰에 숨은 채 개인정보를 빼냈다. 명령제어(C2) 서버와 연결돼 SMS 자동 발송하거나 벨소리 음량 등 기기 설정을 조회하는 동작도 수행할 수 있었다.

해당 유형 악성 앱에는 ‘지정 번호로 자동 전화 발신’ 기능이 미완성 형태로 담겼다. 이 기능은 공격자가 지정한 전화번호로 피해 스마트폰이 자동으로 전화를 걸도록 만들 수 있다. 시큐리온은 이 악성 앱이 활발히 유포되고 있어 향후 이 기능이 활성화되면 대규모 보이스피싱 공격으로 진화할 가능성이 있다고 경고했다.

시큐리온 관계자는 “청첩장으로 위장한 악성 앱이 올해 가장 활발히 유포되고 있다”며 “복합적인 은폐 전략, 보이스피싱 기능 내장 등 여러 특징을 종합해 볼 때 위험도가 높다”고 강조했다. 그는 이어 “갑자기 과도한 권한을 요청하거나 백그라운드 통신이 발생하고 평소에 사용하던 앱 아이콘이 사라지는 등 의심스러운 현상이 나타나면 즉시 앱을 삭제해야 한다”고 조언했다.