커뮤니티

자유게시판

  • HOME
  • 커뮤니티
  • 자유게시판
자유게시판 상세보기, 제목, 내용, 파일등의 정보를 제공합니다.
제목 [보안뉴스] 악성 앱 통한 ‘몸 캠 피싱’에 당할라? 피해자 유인하는 공격 유형 몇 가지
[보안뉴스] 악성 앱 통한 ‘몸 캠 피싱’에 당할라? 피해자 유인하는 공격 유형 몇 가지 1번째 파일 - 자세한 내용은 본문 참조 사진 확대보기
여러 가지 방법으로 피해자에게 연락해 화상 채팅을 유도하고, 피해자의 모습을 촬영한 후, 주변 지인들에게 유포하겠다고 협박해 돈을 갈취하는 이른바 ‘몸 캠 피싱’이 악성 앱을 기반으로 더욱 다양화·지능화되고 있다.

보안업체 이스트시큐리티의 시큐리티대응센터(ESRC)에 따르면 최근까지도 몸 캠 피싱이 꾸준하게 발생하고 있으며, 공격자들은 몸 캠 피싱 피해자들을 유인하기 위해 매일 1~2개씩 악성 앱을 만들어내고 있는 것으로 드러났다.

현재 유포되고 있는 악성 앱들은 랜덤 채팅과 SNS, 오픈 채팅과 가짜 사이트 등으로 다양하게 위장하고 있는 것으로 분석됐다. 이러한 앱을 설치하게 되는 몸 캠 피싱의 몇 가지 유형을 살펴보면 다음과 같다.

첫 번째는 랜덤 채팅 앱이다. 피해자에게 연락하기 위해 여러 가지 매체를 활용하는데 제일 많이 사용되는 것이 바로 랜덤 채팅 앱이다. 채팅 앱은 익명으로 접근할 수 있으며 모르는 사람들에게 대량으로 문자를 보내 피해자를 찾게 된다. 이후 카카오톡과 라인, 텔레그램 등의 메신저 아이디를 넘겨주며 본격적인 작업이 진행되는 방식이다.

두 번째는 인스타그램이나 페이스북과 같은 SNS를 활용해 이루어지는 공격 방법이다. 가짜 계정으로부터 친구 요청이 오고 메시지를 통해 연락을 주고받게 된다. 영상 통화가 가능하므로 사진을 주고받다 보면, 공격자는 피해자의 친구 목록과 팔로워들을 미리 캡처하여 보관하고 태세 전환을 하면서 유포하겠다고 협박하는 방법이다. 이러한 방법은 굳이 악성 앱을 설치하지 않고도 진행할 수 있다.

세 번째 유형은 오픈 채팅을 활용한 방법으로, 특정 키워드를 지정해 검색이 가능한 방을 생성하면 모르는 사람들이 쉽게 접근해 오는 것을 확인할 수 있다. 이러한 방식 또한 익명을 유지할 수 있고 관리하기도 용이하기 때문에 자주 사용되는 방법이다. 굳이 홍보하지 않아도 찾아올뿐더러 다른 곳에서 오픈 채팅 링크를 공유해 넘어올 수도 있다.

마지막 유형은 랜덤 채팅 앱과 가짜 사이트를 결합한 방법이다. 이 방식은 랜덤 채팅 앱에서 모르는 사람이 말을 걸어오면서 시작된다. 대화를 나누다 보면 불편하다는 이유로 메신저로 넘어가게 되고 자신이 특정 업소에서 일하고 있는데, 퇴근 예약을 신청해야 한다며 사이트를 공유해준다.

해당 사이트는 구글에 검색해도 나오기 때문에 피해자가 판단하는 데 있어 어려움이 있다는 게 ESRC 측의 설명이다. 이 사이트에 접속해 실시간 대화를 하다 보면 공격자는 보안상 문제를 핑계 삼아 앱 설치를 유도하게 되고, 앱을 실행하면 정보가 넘어가기 때문에 그 이후에는 돈을 요구하는 협박이 이루어지게 된다는 얘기다.

이러한 악성 앱들은 △정보 탈취(통화 기록/문자 기록/주소록/앨범 사진/위치 정보/사진 촬영/디바이스 정보) △정보 삭제(주소록/문자 기록) △정보 생성(주소록) △명령제어(C&C) 서버 명령 수행(정보 수집) 등의 행위를 하는 것으로 분석됐다. 해당 앱들은 피해자를 속이기 위해 앱 아이콘은 위장하고 있지만, 앱 실행 화면은 별다른 표시를 하지 않는 것으로 드러났다. 실제 기능들은 백그라운드로 작동하며 빈 레이아웃을 통해 흰 화면만 지속해서 나타내게 된다.

이스트시큐리티 ESRC 측은 “랜덤 채팅 앱은 원래 나쁜 의도로 만들어진 애플리케이션이 아니지만, 공격자들이 익명성에 기대어 악용하기 시작하면서 지속적인 피해가 발생하고 있다”며, “앱에서 쉽게 다가오는 낯선 사람과 대화할 땐 몸 캠 피싱의 표적이 될 수 있음을 인지하고 있어야 한다”고 각별한 주의를 당부했다.
파일
목록