정상 사이트를 공격한 운송사 배송조회 서비스 피싱 사이트 분석

📌 개요

​

특정 서비스를 사칭한 스미싱 공격은 오래전부터 꾸준히 발생해 왔으며, 특히 운송사를 가장한 스미싱 사례는 8년 전에도 보고된 바 있다. 또한 당시의 공격 목표는 피해자의 스마트폰에 악성 앱을 설치하도록 유도하는 것이며, 현재의 공격 목표와 다르지 않다.

​

이번에 소개할 운송사 배송조회 서비스를 사칭한 스미싱 공격 사례 역시 전형적인 스미싱 공격과 많은 공통점을 보이지만,

과거와는 다른 몇 가지 특징이 있어 이를 중심으로 살펴보고자 한다.

​

​

📌 분석

​

[그림 1] 과거 운송 업체 스미싱 문자

​

[그림 2] 최근 수집한 운송 업체 스미싱 문자

​

피싱 사이트의 URL은 문자 메시지 형태로 유포되며, 사용자가 해당 문자를 통해 피싱 사이트에 접속하도록 유도하는 전형적인 스미싱 공격의 형태이다. 그러나 최근 수집된 스미싱 문자들에서는 URL이 정상 사이트의 주소처럼 보이는 경우가 많아지고 있다. 특히 [그림 2]에 나타난 URL은 [그림 1]과 달리 “co.kr”로 끝나, 많은 사람들에게 신뢰할 수 있는 사이트처럼 보이도록 구성되어 있다.

​

[그림 3] 피싱 사이트 화면

​

[그림 4] GetAPK를 이용한 apk 다운로드

​

위 사진은 URL에 접속했을 때 보이는 피싱 사이트 이미지이다. 좌측 상단에는 사칭한 운송 회사의 로고가 있으며, 전화번호를 입력하는 폼이 존재한다. 또한 9개의 메뉴도 존재하지만, 클릭 시 번호 인증을 요구한다. 특히 해당 피싱 사이트는 위협 행위자의 DB에 등록된 전화번호를 입력해야 다음 단계(악성 코드 다운로드)로 진행한다. 따라서 전화번호를 임의로 입력하면 별도의 동작이 발생하지 않는데, 이는 악성 코드가 유출되어 분석되는 것을 방해하기 위함이다. 하지만 추가 악성 행위 분석을 위해 APK 파일을 다운로드할 필요가 있었으며, GetAPK를 이용하여 샘플을 추출하였다.

​

[그림 5] 정상 사이트 메인 페이지

​

이 피싱 사이트의 URL을 수정해 최상위 경로로 접근하면, 해당 사이트는 다른 기관 또는 회사의 공식 메인 페이지를 표시한다. 이는 피싱 사이트에 사용된 도메인이 실제 기관이나 회사가 운영하는 정상적인 도메인이며, 공격자가 정상 웹 서버 중 취약한 서버를 찾아 침투한 뒤, 피싱에 사용할 리소스를 삽입했음을 의미한다. 이러한 방식은 피해자로 하여금 해당 사이트를 신뢰할 수 있는 정상 사이트로 오인하게 만들어, 피싱의 성공 가능성을 높인다.

​

[그림 6] AskURL 진단 결과

​

정상 웹 서버를 공격하여 피싱 사이트를 운영하는 공격 방식은 최근에 성행하기 시작하였으며, AskURL 서비스에 의해 탐지되는 사례도 적지 않다. 이러한 공격에 사용된 URL의 경로들은 대부분 “https://example.com/a/“, ”https://example.com/b/“ 등의 알파벳으로 이루어진 형태이며, ”https://example.com/cj/“ 등 운송사의 이름을 붙인 경로를 구성하기도 한다.

​

​

📌 결론

​

운송 업체를 사칭한 스미싱 공격은 흔히 볼 수 있는 수법이지만, 최근에는 취약한 정상 웹 서버를 침투하여 피싱 사이트를 운영하는 방식이 증가하고 있다. 이 방식의 핵심은 정상 도메인을 악용한다는 점이며, 이를 통해 피해자가 URL을 신뢰할 수 있는 것으로 착각하게 만든다. 따라서 문자 메시지의 발신자가 실제 공식 운송사인지 반드시 확인하고, 사이트를 통해 앱을 무분별하게 다운로드하지 않는 것이 중요하다. 아울러 URL 클릭 전에 AskURL과 같은 URL 탐지 서비스를 활용하는 것도 스미싱 피해를 예방하는 데 효과적이다.

 

 

유 영 준 / 프로
Nurilab X-ngine Center

---

 

 

 

피싱 메시지로 의심된다면, 에스크유알엘에 물어보세요!

https://askurl.io/

 

누리랩 에스크유알엘(AskURL) 카카오톡 채널 추가

http://pf.kakao.com/_aEWyxj