“한국 온라인 뱅킹 사용자, 가짜 청첩장 조심하라”

[시큐리티팩트=김상규 기자] 한국 온라인 뱅킹 사용자가 청첩장 링크를 클릭하면 숨니봇 멀웨어가 설치되어 개인 데이터 및 은행 디지털 인증서 등의 중요한 정보가 탈취될 수 있다는 경고가 나왔다.

글로벌 사이버 보안 기업인 카스퍼스키는 사이버 범죄자들이 인생에서 가장 소중한 기념일인 결혼식 청첩장을 악용하여 안드로이드 기기 사용자에게 멀웨어를 유포하고 있다고 18일 밝혔다.

카스퍼스키 연구원들은 공격자가 청첩장으로 위장한 링크를 배포하여 피해자가 2024년에 카스퍼스키가 처음 발견한 뱅킹 트로이 목마인 ‘숨니봇(SoumniBot)’을 다운로드하도록 속이는 정교한 악성 캠페인을 발견했다.

이 스팸은 잠재적 피해자에게 결혼식 라이브 스트리밍에 참여할 수 있는 옵션이 포함된 디지털 청첩장으로 보이는 링크를 전송하는 방식으로 작동한다.

하지만 링크를 클릭하면 주로 한국 온라인 뱅킹 사용자를 대상으로 하는 숨니봇 멀웨어를 다운로드하도록 유도하는 악성 웹사이트로 연결되며, 개인의 보안뿐만 아니라 가족 전체의 금융 시스템까지 위협할 수 있다.

카스퍼스키 전문가들은 2024년 8월부터 활동한 이 캠페인에서 공격자들이 사용한 약 400개의 도메인을 확인했다.

카스퍼스키 위협 연구소의 멀웨어 분석가인 드미트리 칼리닌(Dmitry Kalinin)은 “이 공격자들은 청첩장을 악용하여 특히 사회공학 기법을 매우 효과적으로 활용하고 있다. 이것을 악의적이라고 즉시 의심하는 사람은 거의 없다”라고 말하며, “항상 그렇듯이 멀웨어 제작자는 숨어 있으면서 가능한 한 많은 디바이스를 감염시키려고 한다. 숨니봇은 안드로이드 매니페스트 처리(Android manifest processing)의 약점을 악용하여 잠재적인 보안 조치를 우회하는 완벽한 예시다"라고 말했다.

‘숨니봇’은 일단 설치되면 은밀하게 작동되며 쉽게 탐지되지 않도록 앱 아이콘 숨기기, 연락처, SMS 메시지, 사진 및 동영상 탈취, 한국의 은행에서 사용하는 디지털 인증서 탈취, 피해자 기기에서 임의의 SMS 메시지 전송, 15초마다 수집된 데이터를 공격자가 제어하는 서버로 전송한다.

이 악성코드는 ▲압축 방법 조작 ▲매니페스트 크기 변조 ▲분석 도구를 압도하는 매우 긴 이름 공간 문자열 사용 등 3가지 정교한 기술 수법을 사용하여 탐지 시스템을 회피한다.

특히 숨니봇은 우리나라 은행에서 사용하는 디지털 인증서를 표적으로 삼아 공격자가 인증 방법을 우회하고 피해자의 계정을 탈취할 수 있다는 점이 우려된다. 청첩장 미끼는 사회적 신뢰와 감정적 조작을 이용해 기존 피싱 캠페인보다 높은 감염률을 달성하는 악성코드 배포 전술의 진화를 보여주는 우려되는 사례다.

카스퍼스키는 아래와 같이 숨니봇 멀웨어 예방활동 실천을 권장했다.

첫째, 보안 검사를 통해 악성 앱을 걸러내는 Google Play와 같은 공식 스토어에서만 애플리케이션 다운로드해라. 둘째, 예상치 못한 청첩장이나 기타 감정적인 유혹, 특히 앱 다운로드를 요청하는 경우 주의하라. 셋째, 앱 권한을 신중하게 확인하고 접근성 서비스와 같은 고위험 권한을 부여하기 전에 두 번 생각해라. 넷째, 많은 보안 문제가 업데이트를 통해 해결되므로 운영 체제 및 중요한 앱을 최신 상태로 유지하라.

김상규 기자 sgkim@securityfact.co.kr 이 기자의 다른 기사 보기