2차 소비쿠폰 앞뒀는데…관리 취약한 공식 사이트 스미싱 공격 우려

공격자들이 관리가 허술한 정상 사이트를 스미싱(문자메시지를 통한 피싱) 공격에 악용해 탐지 솔루션을 우회하려는 사례가 확인됐다. 정부의 2차 민생회복 소비쿠폰 지급을 앞두고 정상 사이트가 공격 루트가 될 수 있다는 우려가 제기된다.

AI스페라가 최근 자사의 사이버 위협 인텔리전스(CTI) 검색엔진 '크리미널 IP'(Criminal IP)를 통해, 선불폰 서비스를 제공하는 '굿페이'의 공식 사이트가 스미싱에 악용되는 사례를 포착했다.

이번 공격 사례는 기존의 유사 도메인을 제작하는 방식이 아닌, 신뢰할 수 있는 도메인을 이용해 탐지 솔루션을 우회하려는 시도를 했다는 게 특징이다.

구체적으로 공격자는 '택배 정보 확인' 문구로 사용자를 속여 인터넷주소(URL) 접속을 유도했다. 이때 URL은 굿페이 공식 사이트에 '/I'를 경로로 피싱 사이트를 삽입한 형태였다. 공식 사이트 도메인을 악용했다는 점에서 피해 확산 우려가 더 크다는 분석이 나온다.

더욱이 크리미널 IP를 통해 서버 IP를 조회한 결과, 굿페이 서버는 윈도 서버 2012(Windows Server 2012)를 운영하고 있었다. 윈도 서버 2012는 마이크로소프트가 2023년 10월 기술 지원을 종료한 운용체계(OS)로, 공식 보안 패치 업데이트를 받을 수 없다. 지난 6월 랜섬웨어 공격을 당해 닷새간 시스템이 마비된 예스24도 윈도 서버 2012를 사용하고 있어 사태 원인으로 지적되기도 했다.

아울러 낮은 버전의 웹 서버(IIS 8.5)를 사용하고 있었으며, 원격데스크톱프로토콜(RDP)과 파일전송프로토콜(FTP) 포트가 열려 있어 관리가 미흡했다.

AI스페라 관계자는 “의심스러운 링크는 직접 클릭하지 말고, 불가피하게 클릭해야 한다면 반드시 크리미널 IP 등 보안 제품으로 확인해야 한다”며 “출처가 불분명한 애플리케이션 설치 차단 설정을 활성화하는 것도 중요하다”고 말했다.

한편, 정부는 2차 소비쿠폰 지급을 사칭한 스미싱 공격을 우려해 “URL를 포함한 안내 문자를 일절 발송하지 않을 예정”이라고 밝혔다. 2차 소비쿠폰과 관련해 URL이 포함된 문자는 100% 스미싱 문자인 것이다.

조재학 기자 2jh@etnews.com