▲ 캡챠 코드가 추가된 스미싱 악성코드 유포 방식
▲ 캡챠 코드가 추가된 스미싱 악성코드 유포 방식
순천향대 SCH사이버보안연구센터(센터장 염흥열 교수)는 최근 스미싱 악성코드 유포 방식에 의미있는 변화가 발생했다고 밝혔다.

스미싱 악성코드의 유포가 급증하자 이동통신3사와 보안업체는 이러한 악성코드를 자동으로 탐지하기 위한 시스템을 구축해 운영하고 있다. 이러한 스미싱 대응 시스템은 스미싱 SMS 문자에 포함된 URL로부터 악성코드를 자동으로 다운 받아 이를 분석하는 탐지 방식을 이용하고 있다.


URL이란 uniform resource locator의 약자로 인터넷 정보 위치 주소를 뜻한다.

스미싱 공격에서는 전체 URL 주소를 이용하지 않고 사용자를 속이기 위해 단축 URL을 이용하는 경향이 증가하고 있는 추세다. 그런데 최근에는 단축 URL을 이용해 악성코드를 다운로드하는 방식도 기존 스미싱 대응 시스템에 의해 탐지가 가능해졌다.


이에 이런 스미싱 대응시스템을 우회하기 위해 ‘캡챠(CAPTCHA) 코드’까지를 동원하는 방식으로 진화하고 있다.


'캡차 코드'란 사람과 컴퓨터를 구분하기 위해 사람만이 인지할 수 있는 문자가 포함된 변형된 이미지를 보여주고 해당 문자를 입력해야지만 원하는 다음 단계가 처리되게 하는 기술이다.


다시 말해, 공격자는 기존 탐지 시스템을 우회하기 위해 피해자가 단축 URL을 클릭하면 바로 악성코드가 자동으로 다운로드 되게 하는 것이 아니라 피해자를 임의로 만들어둔 웹 페이지로 먼저 유도한다.

그런 후 피해자가 캡챠 코드를 입력한 후에만 스미싱 악성코드가 다운로드 되도록 하는 방식으로 변경되었다. 이렇게 함으로써 공격자는 기존 자동 탐지 시스템이 자동으로 스미싱 악성코드를 다운로드하지 못하게 만들어 스미싱 대응시스템에 탐지되지 않을 것으로 기대해 공격 방식을 변경한 것으로 추정된다.

순천향대 SCH 사이버보안연구센터장 염흥열 교수는 “이러한 유포 방식 변화는 공격자가 스미싱 악성코드 유포 가능성을 극대화하기 위한 시도로 해석되며, 스미싱 대응 시스템도 캡챠 코드 인식 기능도 추가해 대응할 필요가 있다.”라며, “향후 더욱 고도화된 방식을 이용할 공격자들의 공격 방식에 대한 지속적인 연구와 추적이 필요하다.” 라고 강조했다.

<이미지제공=순천향대 SCH사이버보안연구센터>