Home > 전체기사
세계적으로 유명한 은행의 모바일 고객 노린 대형 피싱 캠페인 발견돼
  |  입력 : 2020-02-17 10:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
체이스, HSBC, CIBC 등의 모바일 뱅킹 사용자 노린 무차별 살포식 캠페인 발견돼
모바일은 피싱 페이지 만들기도 쉽고, 사용자들의 보안 의식 낮아 공격하기 쉬워


[보안뉴스 문가용 기자] 휴대 전화 단문 메시지를 활용해 은행 계좌용 크리덴셜을 훔치는 공격 캠페인이 발견됐다. 모바일 앱에 대한 사이버 공격자들의 관심이 계속해서 증가하고 있다는 뜻이라고 보안 업체 룩아웃(Lookout)이 발표했다. 유명 은행인 체이스(Chase), HSBC, TD, 스코티아뱅크(Scotiabank), CIBC의 고객들이 피해를 입었다. 이 캠페인은 2019년 6월부터 시작됐고, 현재는 진행되지 않는 것으로 보인다.

[이미지 = iclickart]


룩아웃에 따르면 “이 캠페인에 당한 것으로 보이는 모바일 사용자의 IP 주소가 최소 4천 개 이상 발견되고 있다”고 한다. 이 4천 개는 전부 고유한 것이다. “하지만 실제 어느 정도의 금전적 피해가 있었는지는 아직 정확히 파악하지 못하고 있습니다. 공격자들이 훔쳐간 크리덴셜을 어떤 식으로 활용하고 있는지를 아직 다 알지 못하기 때문입니다.”

룩아웃의 보안 첩보 엔지니어인 아푸르바 쿠마르(Apurva Kumar)는 “이런 캠페인들이 자꾸만 늘어나니, 모바일 사용자들은 보다 더 주의해야 한다”고 경고한다. “모바일 피싱 공격이 심각한 수준으로 늘어나고 있어요. 이번에 발견한 캠페인은 심지어 PC를 조금도 필요로 하지 않았습니다. 모든 과정이 모바일에서만 이뤄졌죠. 심지어 피싱용 사이트들도 모바일 페이지였어요.”

공격자들에게 있어 모바일 피싱 공격은 꽤나 매력적이다. 모바일 화면은 PC 화면과 달리 정상적인 사이트라고 하더라도 디테일이 생략되는 경우가 많기 때문에 피싱 페이지를 만드는 게 쉽기 때문이다. “게다가 은행 앱 사용자들은 다중 인증에 익숙해져 있습니다. 즉 은행으로부터 인증 문자를 받는 게 낯설지 않다는 것입니다. 그러니 피싱 문자에도 그냥 속는 겁니다. 조심하지 않아요.”

또한 모바일 장비에는 민감한 정보들이 다량으로 저장된다. 쿠마르는 “이런 상황인데도 모바일 사용자들 대부분 모바일 환경에서도 사이버 공격이 일어난다는 사실을 인지하지 않고 있다”고 말한다. “PC에서 일어나는 이메일 피싱 공격에 대해서 잘 아는 사람들이라도 말이죠.”

정상 앱처럼 위장된 악성 모바일 앱들이 증가하고 있다는 것도 모바일 사용자들이 경계해야 할 부분이다. 이는 안드로이드 환경에서 특히 심각하다고 알려져 있다. 최근 보안 업체 업스트림(Upstream)은 보고서를 통해 “2019년 발견된 악성 안드로이드 앱이 총 9만 8천여 개, 감염된 안드로이드 스마트폰과 태블릿이 4300만여 대”라고 발표하기도 했었다. 심지어 이 악성 앱들의 32%가 구글 공식 모바일 스토어를 통해 퍼졌다고 한다.

룩아웃에 의하면 위 언급된 피싱 캠페인의 경우, “공격자들이 다양한 모바일 뱅킹 앱의 로그인 페이지를 스푸핑 함으로써 사용자들을 속였다”고 한다. “속은 사용자들은 로그인 크리덴셜과 보안 관련 질문 및 답변과 같은 정보를 도난당했습니다.”

공격자들은 정상적으로 판매되고 있는 자동화 문자 메시지 도구를 사용해 캠페인을 진행했다고 한다. “자동화 도구를 가지고 고유한 피싱 메시지들을 생성하고, 이를 여러 은행의 고객들에게 다량으로 전송했습니다. 저희가 조사해서 발견한 가짜 로그인 페이지들만 200개가 넘습니다. 즉 그 많은 은행의 모바일 뱅킹 앱이 스푸핑 된 것이죠.”

쿠마르는 “이러한 공격을 했다는 건, 공격자들이 단 1%의 응답 비율을 노리고 한 무차별 살포 공격을 진행했다는 뜻”이라고 설명한다. “정교한 표적 공격은 아니었습니다. 속는 사람이 1%면 많다고 볼 수 있는, 그런 흔한 피싱 공격이었죠. 다만 그것이 모바일 플랫폼에서 진행되었기에 어느 정도 성공을 거둔 것으로 보입니다.”

룩아웃은 아직 공격 배후 세력에 대해 정확히 파악하지는 못하고 있다. “하지만 정교한 고급 사이버 공격을 실시하는 단체는 확실히 아닙니다. 게다가 공격 도구도 스스로 개발한 게 아니라, 돈 주고 쉽게 구매한 것이고요. 즉, 누구라도 범인이 될 수 있다는 뜻입니다. 누구라도 범인이 될 수 있다는 건, 모바일 생태계에서의 사이버 공격이 굉장히 쉽다느느 뜻이 되고요.”

3줄 요약
1. 모바일 뱅킹 앱 200개 이상 스푸핑한 대규모 모바일 피싱 캠페인 발견됨.
2. 공격자들은 자동화 메시징 앱을 구매해 공격에 악용한 것으로 보임.
3. 모바일 환경에서는 공격자의 수준도 그리 높지 않고, 사용자들의 보안 인식 수준도 낮은 편.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)