스마트폰

보안 무력화하는 스미싱 '캡챠코드'는 무엇?..클릭 말아야

해암도 2014. 5. 24. 06:41

캡챠 코드가 추가된 스미싱 악성코드 유포 방식
휴대폰을 이용한 문자사기(스미싱) 기술이 날로 교묘해지고 있다.

위 그림과 같은 ‘서류가 접수 되었습니다(법원)’ 같은 문자를 받았다면 무조건 해당 문자에 첨부된 인터넷주소(URL)를 클릭하면 안된다. 만약 클릭했다면 두번 째 그림인 ‘대한민국 법원’으로 넘어가는데,이 때 다운로드 버튼을 누르면 다시 새 페이지가 나온다.이 페이지에는 자동입력방지 ‘문자를 입력해주세요 1152’라는 문구가 있고, 이를 위 그림의 동그란 선 안에 쳐 넣으면 악성코드에 감염된다.

일단 스미싱과 다른 점은 단계를 한번 더 거친다는 점이다. 처음 URL을 클릭했을 때 나오는 대한민국 법원 페이지 역시 해커가 가짜로 만든 것이나, 여기까진 악성코드가 없다. 이후 자동입력방지 문자 1152를 넣어야 내 휴대폰에 내 개인정보를 빼 가는 악성코드가 심어지는 것이다.

전문가들은 위 그림의 ‘1152’처럼 다시 사람이 어떤 문자나 숫자를 치게 만드는 것을 ‘캡챠코드’라고 한다.

캡챠(CAPTCHA) 코드는 사람과 컴퓨터를 구분하기 위해 사람만이 인지할 수 있는 문자가 포함된 변형된 이미지를 보여주고 해당 문자를 입력해야지만 원하는 다음 단계가 처리되게 하는 기술이다. 원래는 안전한 거래 행위를 위해 개발됐는데, 문제는 이 같은 캡챠코드를 사용하면 스미싱 범죄를 발각하기 어렵다는 점이다.

이동통신 3사와 보안업체들은 스미싱 악성코드가 급증하자 이를 자동으로 탐지하는 시스템을 구축해 운영하고 있다. 이는 스미싱 문자에 포함된 URL로부터 악성코드를 자동으로 다운받아 이를 분석한 뒤 탐지한다.

그러나 위 그림처럼 ‘캡챠코드’를 쓰면 기존 자동탐지시스템으론 잡지 못한다. 왜냐면 처음 내가 클릭하는 URL만으로는 악성코드에 감염되지 않기 때문이다.

공격자는 스미싱 대응시스템에 탐지되지 않을 것으로 기대해 공격 방식을 변경한 것으로 추정된다.

순천향대 SCH 사이버보안연구센터장 염흥열 교수는 “스미싱 대응 시스템도 캡챠 코드 인식 기능도 추가해 대응할 필요가 있다”며, “더 고도화된 방식을 이용할 공격자들의 공격 방식에 대한 연구와 추적이 필요하다”고 강조했다.

김현아 (chaos@edaily.co.kr 2014-05-23