[디지털데일리 홍하나기자] 최근 스미싱과 보이스피싱이 결합된 신종 사이버 공격이 기승을 부리고 있다. 문자메시지를 통한 스미싱 공격이 보이스피싱으로 이어지는 방식이다. 이처럼 사이버 공격이 점차 교묘해지고 있어 각별한 주의가 필요하다.

8일 이스트시큐리티 시큐리티대응센터에 따르면 스미싱과 보이스피싱이 결합된 신종 사이버 공격이 확인됐다. 해커는 스미싱을 통해 ‘경찰청 사이버안전국’ 사칭 앱<사진>을 유포한 뒤, 피해자의 정보를 빼내 보이스피싱으로 금전을 탈취하는 방식으로 범죄를 저지른다.

경찰청 사이버안전국 사칭 앱의 유포지는 스미싱으로 추정된다. 스미싱을 통해 설치된 이 앱은 피해자의 스마트폰을 감염시킨다. 그런 다음 피해자가 248개의 금융기관에 통화를 시도할 때까지 잠복한다. 다만 이 앱을 클릭할 경우 어떤 기능도 수행되지 않는 점에서 초기에 의심을 해볼 수 있다.

만약 피해자가 통화를 시도할 경우, 통화를 가로채고 보유하고 있는 51개의 금융기관 음성녹음 파일을 재생한다. 그런 다음 해커는 금융기관을 사칭하며 상담을 진행한다. 사전에 감염된 기기를 통해 피해자의 정보를 빼낸 만큼, 금전 탈취 방식은 더욱 교묘하게 이뤄진다.

더욱 놀라운 점은 이 악성앱에 신고를 원천 차단하는 기능도 있다는 점이다. 만약 피해자가 금융감독원 불법 사금융 피해 신고센터 등 검경이나 금감원의 전화번호로 통화를 시도할 경우 이를 가로채고 해커와 연결한다. 신고과정까지도 피싱이 이뤄지는 셈이다.

문종현 이스트시큐리티 이사는 이번 공격이 경찰청 앱 외에도 다양한 형태로 나타날 수 있다고 전했다. 문 이사는 “이와 유사한 다양한 앱의 형태로 공격이 이뤄질 수 있다"면서 "문자 메시지의 링크를 클릭하지 않고, 앱은 앱스토어를 통해 설치하는 등의 주의가 필요하다”고 밝혔다.

그러면서 “모바일 전용 백신을 사용하고 의심스러운 앱이 깔리지 않도록 구글 플레이 프로텍트 기능을 활성화해야 한다”고 당부했다.

<홍하나 기자>hhn0626@ddaily.co.kr