구글 캘린더를 악용하는 스마트폰 신종 피싱 등장

캘린더에 초대장, 이벤트 자동 추가하는 서비스 기능 악용

[보안뉴스 양원모 기자] 구글 캘린더 알림을 통해 사용자에게 접근해 개인 정보를 빼가는 신종 피싱인 ‘캘린더 피싱’이 등장해 주의가 요구된다. 피싱은 사용자의 캘린더에 초대장과 이벤트를 자동으로 추가하는 온라인 캘린더 서비스의 기능을 악용한 것으로 조사됐다.

[이미지=iclickart]

카스퍼스키 연구진은 5월 한 달 동안 사용자가 추가하지 않은 다수의 캘린더 팝업 알림이 스패머들이 발송한 스팸 이메일로 드러났다고 26일 밝혔다. 이 스팸메일은 지메일(Gmail) 스마트폰 사용자를 위한 기본 기능인 ‘초대장 자동 추가’ 및 ‘알림 기능’을 악용했다. 범죄자들이 피싱 URL이 포함된 캘린더 초대장을 발송하면, 초대장 팝업 알림이 스마트폰 홈 화면에 표시돼 수신자들의 무의식적인 링크 클릭을 유도한다.

연구진이 발견한 사례 대부분은 간단한 설문조사 웹 사이트로 연결됐고, 참가하면 상금을 탈 수 있다는 제안을 담고 있었다. 클릭한 사용자들은 상금을 받으려면 신용카드 정보와 이름, 전화번호, 주소 등 일부 개인 정보를 입력하라는 요청을 받게 된다. 하지만 이 정보는 범죄자들에게 전달돼 사용자의 돈이나 개인 정보를 탈취하는 데 사용된다.

카스퍼스키코리아 이창훈 지사장은 “이메일이나 메신저를 사용하는 스팸 수법은 워낙 많이 알려져서 사람들이 잘 신뢰하지 않는데 반해 캘린더 피싱, 특히 캘린더 앱을 통한 피싱은 그렇지 않다. 정보를 전달하는 것이 목적이 아니라 일정 관리가 주 목적이기 때문”이라며 “캘린더 피싱에 악용된 기능은 설정에서 쉽게 해제할 수 있다”고 말했다.

카스퍼스키는 악성 스팸 피해를 입지 않기 위해 2가지 조치를 취할 것을 권고했다.

1) 캘린더에 초대장 요청을 자동으로 추가하는 기능을 해제한다. 구글 캘린더를 연 다음 설정 -> 일정 설정으로 이동한다. ‘초대장 자동 추가’ 옵션의 드롭다운 메뉴에서 ‘아니오, 회신한 초대장만 표시합니다’ 를 선택한다. 거절한 일정을 볼 필요가 없다면 그 아래에 있는 보기 옵션 섹션에서 ‘거절한 일정 표시’는 체크 표시를 해제한다.

2) 자동으로 주소가 변환돼 접속된 웹 사이트가 합법적이며 안전한지 확신할 수 없다면, 절대 개인 정보는 입력하지 않는다.
[양원모 기자(boan@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다