악성앱 설치 유도 신종 사이버 공격
"낯선 사람 카톡 접근 해오면 조심"
"안녕하세요. 카톡 친구 정리하다가 친구로 등록돼 있어 연락드립니다. 실례지만 누구시죠?"
최근 이 같은 카카오톡 메시지를 보낸 뒤 악성 애플리케이션(앱) 설치를 유도해 연락처를 통째로 빼가는 사이버 공격이 등장했다. 이번 공격은 불특정 다수가 대상인데다 국민 메신저로 불리는 '카카오톡'을 활용해 더욱 각별한 주의가 요구된다.
21일 보안 기업 이스트시큐리티 시큐리티대응센터(ESRC)는 카카오톡을 통해 불특정 다수를 대상으로 개인 휴대전화에 악성 앱을 설치하는 사례가 잇따라 발견됐다고 밝혔다.
공격 방법은 다음과 같다. 우선 공격자는 카카오톡 친구로 등록돼 있다거나 친구 추천에 나타났다며 말을 걸어 상대방의 호기심을 유발한다. 공격자는 주로 필라테스·폴댄스 강사 등을 사칭하면서 접근하지만, 일반인인 척 접근하는 경우도 더러 있는 것으로 나타났다.
이때 사용자가 별다른 반응을 보이지 않는다면 공격은 종료된다. 그러나 반응을 보이면 자연스럽게 대화를 주고받으며 상대방과 친밀감을 쌓은 뒤, 자연스레 설치 파일(.apk)을 보낸다.
만일 전달받은 앱을 설치하면 개인 휴대전화에 저장된 지인 등의 연락처가 통째로 공격자에게 전송돼 악용될 수 있다. 문제는 연락처뿐만 아니라 추후 다른 정보까지 강탈당할 수 있다는 것이다.
ESRC는 "현재까지 파악한 앱들에는 연락처 수집 기능만 있지만 향후 다양한 기능이 추가될 가능성이 있다"며 "낯선 사람에게서 온 카카오톡에는 답변하지 말고, 특히 구글플레이가 아닌 다른 경로로 받은 '.apk' 파일은 절대 설치하지 말기를 바란다"고 당부했다.
한편 카카오톡을 이용한 메신저 피싱 범죄는 급증하는 추세다. 국회 정무위원회 소속 국민의힘 강민국 의원이 금융감독원에서 제출받은 '보이스피싱 피해 현황' 자료에 따르면 2018∼2022년 보이스피싱 피해 건수는 22만7126건, 피해 금액은 총 1조6645억원으로 집계됐다.
이 가운데 2020년부터 메신저 피싱이 전체 보이스피싱에서 차지하는 비중이 폭증했다. 지인을 사칭한 메신저 피싱이 전체 보이스피싱에서 차지하는 비중은 2020년 34%(8921건)에서 2022년 89%(2만5534건)로 급증했다.
특히 메신저피싱에 활용된 메신저의 종류를 살펴보면 2만3602건이 '국민 메신저'인 카카오톡이었다. 이는 메신저 종류가 신고된 피해 건수 총 2만4808건 중 95%에 해당하는 비중이다.
허미담 기자 damdam@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>