AI로 보안의 가치를 더하는 기업, 누리랩

누리랩은 AI 기술 기반으로 보안 솔루션 연구 개발 및 서비스를 제공하는 AI 보안 전문 기업입니다.

세상에 도움이 되는 기술로 인류에게 가치를 제공한다! 자세히보기

보안 이슈 분석 리포트

쿠팡(coupang) 사칭 악성코드 배포 사이트 분석 보고서

누리알리 2025. 5. 23. 18:15

 

1. 개요

 

최근 AskURL 탐지를 통해 국내 주요 이커머스 플랫폼인 쿠팡의 공식 앱 다운로드 페이지를 모방한 악성코드 유포 사이트가 발견되었다.

해당 사이트는 피싱 공격 목적으로 사용자에게 접근하여 '악성 안드로이드 애플리케이션 패키지(APK) 파일' 다운로드를 유도한다.

 

[그림 1] AskURL 탐지 결과 화면

 

 

 

2. 상세 분석

 

◎ 유포 과정 및 초기 접근

 

공격자가 문자 메시지(SMS)를 통해 피싱 메시지를 유포하는 사건이 확인되었다. 이 메시지에는 사용자 클릭을 유도하는 문구와 함께 단축 URL이 포함된다. 단축 URL 사용은 실제 악성 사이트의 주소를 은폐하고 사용자의 경계심을 낮추려는 전형적인 피싱 기법이다.

 

[그림 2] 피싱 메세지

 

 

◎ 사이트 접근 제한 및 회피 기법

 

해당 피싱 사이트는 분석을 방해하기 위한 다음과 같은 기술적 특징을 가진다.

 

● 데스크톱 접근 시 리디렉션

: 사용자가 데스크톱 환경에서 사이트에 접근할 경우, 즉시 google.com과 같은 정상적인 사이트로 리디렉션된다.

이는 보안 분석가나 연구원이 자동화된 도구 또는 일반적인 웹 브라우징 환경에서 사이트 내용을 확인하는 것을 어렵게 만든다.

 

● 모바일 환경 최적화

: 사이트는 모바일 기기에서의 접근만을 허용하며, UI 또한 모바일 환경에 최적화되어 있다.

따라서 모바일 기기 전용 분석 도구를 사용하거나, 웹 브라우저의 개발자 도구를 활용하여 모바일 환경을 에뮬레이션해야만 분석할 수 있다.

 

[그림 3] Google 로 리디렉션 된 모습

 

◎ 사이트 UI 및 구성 요소

 

사이트의 사용자 인터페이스(UI)는 매우 단순하며, 쿠팡 앱 다운로드 페이지의 특정 이미지를 모방한 단일 이미지로 구성되어 있다.

 

[그림 4] 쿠팡 사칭 피싱 사이트 UI

 

 

그 외에 주목할만한 요소는 중국어 코드 주석과 악성코드 다운로드 스크립트이다.

 

[그림 5] 이미지의 주석 번역 결과 "이미지 경로로 바꾸기"와 같은 내용이 확인되었으며, 이는 공격자가 웹 템플릿을 사용하여 다양한 사칭 사이트를 신속하게 제작하고 있음을 시사한다. 따라서 이 공격 그룹이 쿠팡 외 다른 국내외 서비스 또한 사칭하여 악성코드를 유포했을 가능성이 크다.

 

[그림 5] 중국어로 된 주석

 

[그림 6] 악성코드 다운로드 링크

 

 

 

◎ 악성코드 다운로드 URL의 특징

 

악성코드가 호스팅된 서버로부터 파일을 내려받는 URL은 접속할 때마다 변경되며, 내려지는 파일의 이름 또한 매번 다르다.

예를 들어 URL 구조가 “[서브도메인].google.com/[경로]” 형태일 때, 서브도메인과 경로에 해당하는 부분이 임의의 문자열로 변경된다.

 

[그림 7] 변경되는 악성코드 다운로드 URL

 

 

[그림 8] 변경되는 파일 이름

 

 

이러한 URL 및 파일 이름의 가변성은 보안 솔루션의 탐지를 우회하려는 시도로 해석될 수 있다. 또한, 동일한 악성 파일이더라도 접속할 때마다 다른 식별자를 사용한다는 점은 두 가지 의도로 볼 수 있다. 첫 번째는 공격자가 각각의 피해자를 추적하기 위함이고 두 번째는 특정 캠페인을 식별하는 데에 있어, 이러한 임의의 문자열을 활용하기 위함이다.

 

 

3. 결론

 

이번 분석 결과, 쿠팡 사칭 피싱 사이트는 쉬운 페이지 변경 및 재활용, 다수의 악성코드 배포 도메인 사용, 그리고 피해자 식별 가능성이 있는 임의 문자 사용과 같은 특징을 통해 광범위한 사용자에게 악성코드를 유포하려는 명확한 의도를 가진다. 이러한 공격은 쿠팡 사용자뿐만 아니라 다양한 서비스 사용자를 대상으로 확산할 수 있으므로 각별한 주의가 필요하다.

 

따라서 문자 메시지나 이메일에 포함된 URL 클릭 시, 실제 접속되는 도메인 주소를 반드시 확인하며, URL 단축기는 되도록 클릭하지 않는 것이 안전하다. 안드로이드 애플리케이션은 Google Play Store와 같은 공식 앱 스토어를 통해서만 내려받고, 출처가 불분명한 APK 파일은 직접적인 다운로드를 절대 금지해야 한다. 의심스러운 URL을 발견했다면 AskURL과 같은 피싱 분석 솔루션을 통해 안전성을 확인하고, 관련 기관에 신고하는 것이 좋다.

 

채 민 석 / 프로
Nurilab X-ngine Center
 

 

피싱 메시지로 의심된다면, 에스크유알엘에 물어보세요!

https://askurl.io/

 

누리랩 에스크유알엘(AskURL) 카카오톡 채널 추가

http://pf.kakao.com/_aEWyxj

'보안 이슈 분석 리포트' 카테고리의 다른 글

마이크로소프트(Microsoft) 계정 탈취 목적의 피싱 메일 분석 보고서  (3) 2025.07.24
뉴욕 멜론 은행(Bank of New York Mellon) 사칭 악성코드 분석 보고서  (3) 2025.06.18
현대카드 취소 신청으로 위장한 피싱 사이트 분석 보고서  (0) 2025.05.23
더본(THEBORN) 코리아, 피싱 사이트 분석 보고서  (0) 2025.05.21
여행사를 사칭한 신종 팀 미션 부업 사기 분석 보고서  (2) 2025.05.15

'보안 이슈 분석 리포트'의 다른글

  • 현재글쿠팡(coupang) 사칭 악성코드 배포 사이트 분석 보고서

관련글

티스토리툴바