구글 캘린더를 악용하는 스마트폰 신종 피싱 등장

캘린더에 초대장, 이벤트 자동 추가하는 서비스 기능 악용

[보안뉴스 양원모 기자] 구글 캘린더 알림을 통해 사용자에게 접근해 개인 정보를 빼가는 신종 피싱인 ‘캘린더 피싱’이 등장해 주의가 요구된다. 피싱은 사용자의 캘린더에 초대장과 이벤트를 자동으로 추가하는 온라인 캘린더 서비스의 기능을 악용한 것으로 조사됐다.

[이미지=iclickart]

카스퍼스키 연구진은 5월 한 달 동안 사용자가 추가하지 않은 다수의 캘린더 팝업 알림이 스패머들이 발송한 스팸 이메일로 드러났다고 26일 밝혔다. 이 스팸메일은 지메일(Gmail) 스마트폰 사용자를 위한 기본 기능인 ‘초대장 자동 추가’ 및 ‘알림 기능’을 악용했다. 범죄자들이 피싱 URL이 포함된 캘린더 초대장을 발송하면, 초대장 팝업 알림이 스마트폰 홈 화면에 표시돼 수신자들의 무의식적인 링크 클릭을 유도한다.

연구진이 발견한 사례 대부분은 간단한 설문조사 웹 사이트로 연결됐고, 참가하면 상금을 탈 수 있다는 제안을 담고 있었다. 클릭한 사용자들은 상금을 받으려면 신용카드 정보와 이름, 전화번호, 주소 등 일부 개인 정보를 입력하라는 요청을 받게 된다. 하지만 이 정보는 범죄자들에게 전달돼 사용자의 돈이나 개인 정보를 탈취하는 데 사용된다.

카스퍼스키코리아 이창훈 지사장은 “이메일이나 메신저를 사용하는 스팸 수법은 워낙 많이 알려져서 사람들이 잘 신뢰하지 않는데 반해 캘린더 피싱, 특히 캘린더 앱을 통한 피싱은 그렇지 않다. 정보를 전달하는 것이 목적이 아니라 일정 관리가 주 목적이기 때문”이라며 “캘린더 피싱에 악용된 기능은 설정에서 쉽게 해제할 수 있다”고 말했다.

카스퍼스키는 악성 스팸 피해를 입지 않기 위해 2가지 조치를 취할 것을 권고했다.

1) 캘린더에 초대장 요청을 자동으로 추가하는 기능을 해제한다. 구글 캘린더를 연 다음 설정 -> 일정 설정으로 이동한다. ‘초대장 자동 추가’ 옵션의 드롭다운 메뉴에서 ‘아니오, 회신한 초대장만 표시합니다’ 를 선택한다. 거절한 일정을 볼 필요가 없다면 그 아래에 있는 보기 옵션 섹션에서 ‘거절한 일정 표시’는 체크 표시를 해제한다.

2) 자동으로 주소가 변환돼 접속된 웹 사이트가 합법적이며 안전한지 확신할 수 없다면, 절대 개인 정보는 입력하지 않는다.
[양원모 기자(boan@boannews.com)]

코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
	마이크로소프트의 팀즈(Teams)
	시스코시스템즈의 웹엑스(Webex)
	구글의 행아웃 미트(Meet)
	줌인터내셔녈의 줌(Zoom)
	슬랙의 슬랙(Slack)
	NHN의 두레이(Dooray)
	이스트소프트의 팀업(TeamUP)
	토스랩의 잔디(JANDI)
	기타(댓글로)