과학기술정보통신부, 방송통신위원회, 금융위원회, 경찰청, 한국인터넷진흥원, 금융감독원 등은 31일 추석 연휴를 앞두고 택배 배송과 금융 지원 안내 등을 사칭한 스미싱 피해 주의를 당부했다. 스미싱은 문자메시지(SMS)와 피싱(Phishing)의 합성어다. 악성 코드를 심은 URL 주소를 휴대폰 문자메시지로 전송한 후 금융정보와 개인정보 등을 탈취하는 수법이다. 2019년부터 2021년까지 발생한 스미싱 피해 사례 중 명절이 낀 1, 2, 9월 발생한 사례의 비율은 전체의 42.2%를 차지한다. 피해 비율은 매년 조금씩 증가하는 추세
삼성전자는 보이스피싱에 악용되는 스마트폰 악성 앱의 설치를 차단하는 새로운 보안 솔루션을 공개한다고 18일 밝혔다.이 솔루션은 공식 앱스토어 등 공인된 경로가 아닌 방식으로 설치되는 앱의 악성코드를 사전에 감지하고 사용자에게 알림을 제공한다.보이스피싱에 악용된 이력이 확인된 앱의 설치를 차단하고 출처가 확인되지 않은 앱을 설치할 경우 경고 또는 차단 알림을 팝업으로 표시한다.스마트폰 사용자는 출처 미확인 앱 목록을 확인하고 각 앱에 대한 제어 옵션을 직접 설정할 수 있다. 보안 솔루션을 적용한 뒤 설정모드에서 '출처를 알 수 없는
상위 3개 범죄조직이 악성 앱의 92%를 유포한 것으로 나타났다. 이들은 피해자의 스마트폰으로 영상을 촬영해 전송할 수 있는 기능을 추가한 악성 앱을 유포 중이다. 금융보안원은 27일 ‘보이스피싱 악성 앱 유포조직 프로파일링’ 보고서를 발표하며 최근 자체 탐지·수집한 보이스피싱 악성 앱 5000개를 분석해 악성 앱의 92%가 상위 3개 조직에 의해 유포되는 것을 확인했다고 밝혔다.금융보안원은 조직의 이름을 보이스피싱의 접두어 ‘보이스(Voice)’와 분석 과정에서 수집한 각 조직의 특징적인 키워드를 결합해 금융보안원이 조직의 이름을
안랩이 최근 '예약 물품을 확인하라'는 문자를 보내 악성 앱 설치를 유도하는 스미싱 공격을 발견했다며 사용자의 주의를 당부했다.16일 안랩에 따르면, 공격자는 먼저 ‘고객님 예약물품 맞는지 조회부탁합니다 문제있는 경우 고객센터(고객센터의 오타) 연락주세요'라는 내용과 함께 악성 URL이 포함된 문자를 발송했다.사용자가 문자메시지 내 URL을 누르면 인터넷우체국으로 위장한 가짜 사이트로 연결되며, '우체국 최신 버전을 다운로드하고 설치하세요.'라는 메시지가 나타난다. 사용자가 무심코 ‘확인’ 버튼을 누르면 사용자의 스마트폰에 정상 우
구글 광고를 통해 접속한 사이트에서 수입억 달러 상당의 암호화폐가 탈취됐다고 더버지, 기즈모도 등 외신이 4일(현지시각) 전했다.사이버 보안 회사 체크포인트리서치(Check Point Research, CPR)에 따르면 지난 주말 구글 광고를 악용한 가짜 암호화폐 사이트를 통해 50만달러(약 6억원) 상당의 암호화폐가 도난당했다.사기꾼은 가장 인기 있는 암호화폐 지갑 팬텀(Phantom)과 메타마스크(MetaMask)를 사칭하는 사이트를 구축해 사용자를 속였다. CPR는 사기꾼이 사칭 사이트 주소를 ‘phantonn’처럼 얼핏 보면
구글이 페이스북 계정 정보를 훔치는 데 사용된 9개의 앱을 제거했다고 기즈모도, 엔가젯 등 외신이 4일(현지시각) 전했다. 러시아 바이러스 백신 소프트웨어 회사인 닥터 웹(Dr. Web)에 따르면 이번에 퇴출된 9개의 앱은 사진 편집, 운동, 저장 공간 정리, 일일 운세를 제공하는 앱으로, 합법적인 서비스처럼 보이지만 페이스북 계정 정보를 탈취하는 것으로 알려졌다. 많은 모바일 서비스가 소셜 미디어 계정을 동기화해 앱의 기능을 잠금 해제한다. 페이스북을 동기화하면 앱이 사용자 이름과 암호를 입력하는 필드를 포함하는 합법적인 페이스북
50억개 이상 설치된 구글 안드로이드 앱에서 최근까지도 개인 정보를 탈취하는 악성 앱이 발견됐다고 테크크런치, 와이어드 등 외신이 전했다. 악성 앱은 기기에 대한 접근 권한을 탈취해 전반적인 사용자 개인정보 데이터에 접근했다. 접근 가능한 개인정보에는 구글 계정 정보, 검색 기록, 이메일, 문자 메시지, 연락처 및 통화 기록은 물론이고 마이크와 카메라를 통해 사용자의 위치 정보까지 가능했다.모바일 보안 스타트업 오버시큐어드의 창업자인 세르게이 토신은 "악성 앱은 피해자가 알지도 못하는 사이 사용자 동의도 없이 공격이 이뤄진다"며 "
스마트폰 앱은 여가를 즐기거나, 업무를 도와주는 등 유용한 기능을 제공한다. 하지만 개인정보를 유출하거나 악성코드를 포함한 유해한 영향을 미치기도 한다. 테크미디어인 코만도닷컴은 이런 이유로 지금 당장 삭제해야 하는 스마트폰 앱 6개를 꼽았다. ◇ 아이폰·안드로이드의 캠스캐너(CamScanner)캠스캐너는 스캔한 문서에 워터마크나 메모 추가 등의 다양한 편집을 할 수 있을 뿐만 아니라 정확한 자르기 및 자동 조명 조정 기능이 있어 사랑받았던 무료 앱이다. 이 앱에는 운전면허증, 주민등록증과 같은 민감한 자료를 포함할 수 있다. 개인
금융보안원은 보이스피싱 예방과 대응을 위해 보안 기업 안랩과 업무협약(MOU)을 체결했다고 23일 밝혔다.이번 협약에 따라 금융보안원은 악성 애플리케이션(앱)과 피싱 사이트, 원격 제어 앱 등 신종 보이스피싱 관련 정보를 안랩에 제공한다. 안랩과 기술 교류 및 협력도 추진한다. 안랩은 제공 받은 정보를 백신 제품(V3)에 녹여 보이스피싱 피해를 예방·차단한다.김영기 금융보안원 원장은 "금융 소비자의 보이스피싱 피해를 최소화하고자 보이스피싱 관련 수법을 선제적으로 탐지, 대응하겠다"며 "금융권을 비롯해 통신사와 보안 업체 등 전문 업
방송통신위원회(방통위)가 최근 신종 코로나바이러스 감염증(코로나19) 사태와 관련해 긴급재난지원금 내용을 사칭한 스미싱(smishing) 문자가 기승을 부리고 있어 주의를 당부한다고 14일 밝혔다. 스미싱 문자에 따른 피해를 방지하기 위해서는 출처가 불분명한 문자의 인터넷주소(URL)을 클릭하지 말아야 한다. 악성 애플리케이션(앱)이 설치돼 있을 경우 권한을 해제하는 일도 필수다.스미싱은 문자메시지(SMS)와 피싱(phishing)의 합성어다. 악성코드가 담긴 URL을 포함한 문자 메시지를 특정인에 대량으로 전송해 수신자의 금융 정
구글이 증가하는 악성 모바일 애플리케이션(앱)의 안드로이드 진입을 막고자 보안 3사와 손잡는다. 세계 25억 대가 넘는 안드로이드 기기의 보안성이 높아질 예정이다.테크크런치와 더버지 등 다수 외신은 6일(이하 현지시각) 구글이 ▲이셋 ▲룩아웃 ▲짐페리움 등 3개 보안 회사와 ‘앱 디펜스 얼라이언스(App Defense Alliance)’를 맺고 안드로이드 생태계 안정성을 높이는 데 협력한다고 보도했다. 구글은 당일 자사 블로그에서 이같은 사항을 발표했다.구글은 자사 안드로이드에 내장된 멀웨어(악성 소프트웨어) 방지 엔진인 ‘구글 플
[IT조선 최재필] 정부와 이통3사가 스마트폰 악성앱에 감염된 이용자들의 피해를 줄이는데 앞장선다.미래창조과학부(이하 미래부)는 스마트폰 이용자의 악성앱 감염 피해를 줄이기 위해 10월 1일부터 이통3사에서 '모바일 응급 사이버 치료체계'를 본격 운영한다고 밝혔다. 그동안 한국인터넷진흥원(KISA)과 이동통신사업자는 스미싱 등에 대해 정보유출지와 해커의 명령 서버(C&C) 등을 차단해 피해를 예방해 왔으나, 단말기에 설치된 악성앱을 삭제하지 않을 경우 추가적인 피해가 발생할 수 있다는 점이 문제로 지적돼 왔다.이에 미래부는 KISA
[IT조선 노동균] 스미싱의 단골 소재인 ‘택배 사칭’이 이번에는 정교한 가짜 공식마켓 페이지까지 만들어 사용자를 속이는 형태로 진화해 주의가 요구된다.안랩(대표 권치중)은 최근 매우 정교하게 제작된 가짜 구글플레이 페이지로 접속을 유도하고, 실제 택배 관련 앱을 사칭한 악성 앱 설치를 시도하는 스미싱 사례를 발견했다고 29일 밝혔다.해당 스미싱 내용은 “반품 요청하신 상품이 금일중 회수예정입니다. 주소지 재확인바랍니다. *m*u*n*t*f*.n*x*o*k.com” 등의 택배 반품 관련 문자를 발송해 사용자의 클릭을 유도한다. 사용
[IT조선 노동균] 최근 핀테크(Fintech)가 ICT 업계의 신성장동력으로 주목받으면서 모바일 보안 위협에 대한 우려도 그만큼 커지고 있다. 이에 정부와 산업계의 모바일 앱 보안 강화 대책 마련과 함께 사용자의 보안 의식 개선도 동반돼야 한다는 목소리가 높다.보안업계는 기존 금융결제 보안 위협이 주로 PC 사용자를 대상으로 했다면, 올해는 모바일 사용자들을 타깃으로 하는 공격이 급증할 것으로 내다보고 있다. 실제로 소액결제 서비스 관련 모바일 악성코드는 지난 2012년 처음 발견된 이래로 최근에는 다양한 모바일 뱅킹 서비스를 대
[IT조선 노동균] 한국인터넷진흥원(KISA, 원장 백기승)은 최근 스미싱이 특정 대상만을 타깃으로 발송돼 악성앱을 설치하도록 유도하는 표적화된 형태로 진화하고 있는 것을 확인하고, 이용자들에게 주의를 당부했다.해당 스미싱에 포함된 인터넷주소(URL)를 클릭하면 택배 배송지 주소 확인, 교통 범칙금 조회 등의 가짜 사이트로 연결돼 휴대전화번호 입력을 요구한다. 전화번호 입력 시 해커가 목표로 하는 특정 대상자 정보와 일치하는 경우에만 악성앱을 설치하도록 유도했으며, 악성앱 설치 시 전화번호, 문자메시지, 연락처 등 개인정보와 공인인
[IT조선 노동균 기자] 한국인터넷진흥원(KISA)은 보안이 취약한 일부 유무선 공유기에서 스마트폰을 이용해 인터넷 접속 시 스마트폰에 KISA 보안앱을 사칭한 악성앱이 다운되는 현상이 27일 발견됐다며 주의를 당부했다. 스마트폰에 다운로드된 앱을 설치하면 문자메시지, 주소록 등의 정보가 유출되며, 또 다른 악성앱이 스마트폰에 다운된 후 금전 탈취 등 추가 피해가 발생할 수 있다. KISA는 발견된 악성앱을 인터넷서비스사업자(ISP)를 통해 악성앱 유포지 및 정보 유출지를 차단하고, 백신 개발 회사에 샘플을 공유해 백신을 개발하도록
[IT조선 유진상 기자] 세월호 침몰사고를 악용한 스미싱 메시지가 발송되고 있어 주의가 요구된다. 미래창조과학부와 한국인터넷진흥원은 세월호 침몰사고를 사칭한 스미싱 문자가 발송되고 있다며 주의를 요한다고 17일 밝혔다. 이 스미싱 문자에는 ‘여객선(세월호) 침몰사고 구조현황 동영상’이라는 문구가 적혀 있으며 인터넷 주소를 포함하고 있다. 스미싱 문자에 포함된 인터넷주소(URL)를 클릭하면 스마트폰에 악성앱(구조현황.apk)이 다운로드 되고, 설치된 악성앱을 통해 기기정보, 문자, 통화기록 등이 빠져나가는 것으로 확인됐다. 또 스마트
단순 피싱 사이트로 연결하는 방식으로 이뤄지던 스마트폰 뱅킹 해킹 앱이 공인인증서 탈취와 같은 악성으로 진화하고 있는 것으로 나타났다. 안랩(CEO 권치중)은 27일, 지난 한 해 동안 발견된 스마트폰 뱅킹 악성 앱의 진화 추세를 분석한 자료를 발표했다. 이에 따르면, 사용자의 금융정보를 노려 금전 피해를 발생시키는 인터넷 뱅킹 관련 악성 앱(이하 뱅킹 악성 앱)은 총 1440건이 수집됐다. 특히, 지난해 하반기에 발견된 뱅킹 악성 앱은 1384건으로, 상반기 56건에 비해 약 25배(24.7배) 증가했다. 형태별로는 단순 피싱 사
스마트폰 문자를 통해 유포되던 악성 앱들이 최근 웹페이지에서도 발견돼 스마트폰 이용자들의 주의가 요구되고 있다. 한국인터넷진흥원(KISA)에 따르면 스마트폰 등 모바일 기기로 홈페이지에 접속할 때 악성 앱 다운로드를 유도하는 신종 악성 앱 유포 방법이 등장했다고 밝혔다. 문제가 된 웹사이트를 PC를 통해 접속하면 아무런 문제가 없지만, 안드로이드 운영체제(OS)를 사용하는 스마트폰으로 접속하면 '스마트폰 필수 보안 업데이트’ 혹은 ‘플레이스토어 다운받기'라는 문구로 사용자들에게 악성 앱 다운로드를 유도한다. 이 때 사용자가 ‘OK'
이스트소프트(대표 김장중)는 최근 스미싱 기법을 통해 유포되는 악성앱 중 기기관리자 권한을 획득하는 동시에 안드로이드 취약점을 이용해 기기관리자 리스트에서 자신을 숨기는 악성앱이 속속 발견되고 있다고 밝혔다. 해당 악성앱은 스미싱을 통해 흔하게 유포되는 소액결제를 노리는 악성코드지만, 기존 스미싱 관련 악성앱과는 크게 다른 차이 한 가지가 있다. 2013년 6월초에 발견된 ‘Obad’라는 신종 악성앱의 코드 일부를 차용해 일단 앱이 설치되면 기기관리자 권한을 탈취하는 동시에 안드로이드의 취약점을 이용한다. 이를 통해 기기관리자 리스