Home > 전체기사
[긴급] ‘텔레그램 n번방 전체회원 신상공개’된다고? 알고 보니 스미싱 공격
  |  입력 : 2020-03-30 22:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
‘TTN(속보)N번방 전체회원 신상공개 https://bit.ly/xxxxxxx’ 문자로 유포
URL 클릭해 악성앱 다운로드 및 설치 시 스마트폰 정보 대부분 해커에게 전송


[보안뉴스 권 준 기자] 최근 온 국민의 공분을 일으킨 ‘텔레그램 박사방·n번방’ 사건과 관련해 n번방에 참여한 전체회원들의 신상을 공개한다는 내용의 스미싱(Smishing) 공격이 발견돼 각별한 주의가 요구되고 있다.

[이미지=iclickart]


보안전문업체 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면, 29일 오후부터 근래 가장 큰 이슈가 되고 있는 ‘n번방 사건’과 관련된 스미싱이 유포되고 있다. ‘TTN(속보)N번방 전체회원 신상공개 https://bit.ly/xxxxxxx’라는 문자메시지로 단축 URL 클릭을 유도하고 있는데, 사이버공격자들이 이러한 희대의 범죄사건에 쏠리는 사람들의 관심을 이용하여 스미싱 공격에 활용하고 있다는 설명이다.

‘n번방 사건’은 2018년 하반기부터 2020년 3월까지 텔레그램 및 기타 메신저 앱을 이용해 벌어진 대규모 디지털 성범죄·성착취 사건으로, 피해자 중 미성년자가 대거 포함되어 있어 더욱 큰 충격을 주고 있다.

▲무차별 유포되고 있는 실제 스미싱 문자[이미지=이스트시큐리티 ESRC]


이로 인해 많은 국민들이 n번방에 참여한 모든 사람들의 신상을 공개하자는 목소리가 높아지고 있는 상황에서 발생한 이번 스미싱 공격은 이렇듯 전 국민적 관심을 악용한 전형적인 사회공학적 공격기법이라고 할 수 있다. 공격자는 한참 이슈가 되고 있는 n번방 관련 회원의 신상공개에 대해 사람들의 많은 관심이 쏠리고 있는 것을 정확히 인지하고, 이를 공격에 활용했기 때문이다.

해당 스미싱을 접한 사용자 중 호기심에 링크를 클릭해 악성 앱을 다운로드 및 설치하게 되면, 사용자의 안드로이드 스마트폰이 감염된다. 일단 악성앱에 감염된 스마트폰은 공격자가 원하는 기기관련 정보 및 사용자 관련 정보를 수집하여 사용자 모르게 특정 주소로 전달하는 한편, 공격자가 의도한 악성행위 역시 함께 수행하게 된다.

▲스미싱 메시지를 통해 추가 설치되는 악성앱 설치화면[이미지=이스트시큐리티 ESRC]


설치된 악성 앱을 통해 공격자가 수행하는 악성행위 및 수집정보는 △기기정보 탈취 △SMS 탈취 △연락처 탈취 △통화기록 탈취 △통화 녹음 △비디오 녹화 △설치 앱 리스트 탈취 △위치정보 탈취 △추가 앱 다운로드 등이다.

이렇듯 사회적으로 이슈화되고 있는 ‘n번방 전체회원 신상공개’라는 허위 문자메시지 정보에 현혹되어 URL 링크를 클릭해 앱을 설치할 경우 자신의 신상정보가 해킹 당하는 피해를 입을 수 있다.

이와 관련 ESRC 측은 “스미싱 공격자들은 국내 정치, 사회 이슈 등을 교묘히 이용해 지속적인 공격으로 활용하고 있다”며, “사용자들은 이런 문자에 현혹되지 않도록 주의하고, 보안수칙을 철저히 지켜줄 것”을 당부했다.

[스미싱 공격 예방을 위한 3대 보안수칙]
1. 신뢰할 수 있는 알약M과 같은 모바일 백신 프로그램을 설치하고, 정기적으로 검사 수행하기
2. 출처가 불분명한 경로를 통한 APK 앱 설치 금지
3. 의심스러운 내용의 문자 메시지에 포함된 URL은 절대로 클릭하지 않기
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)