불특정 다수를 대상으로 ‘누구냐?’는 메시지를 보내 악성 코드가 담긴 애플리케이션(앱) 설치를 유도하는 사기 수법이 발각됐다.

21일 한국의 정보기술(IT) 보안 전문 기업 이스트시큐리티의 시큐리티대응센터(ESRC)는 최근 이 같은 수법의 범죄 행각이 다수 발견됐다고 밝혔다.

이들은 ‘카카오톡 친구로 등록돼 있어 연락드린다’, ‘카카오톡 친구 목록을 정리하다 발견해 메시지 드린다. 실례지만 누군지 알려달라’는 등의 말로 사용자의 호기심을 불러일으킨다. 이후 자기 거주지, 이름 등을 밝히며 말을 이어간다. 일반적으로 필라테스, 폴댄스 등 운동 강사를 사칭하는 경우가 많다. 지인인 척 접근하기도 한다.



공격자는 소개 후 자연스럽게 대화를 계속 유도한다. 그러다 ‘APK(안드로이드 앱 패키지)’ 포맷 파일을 보내며 앱 설치를 안내한다. 파일을 클릭 또는 설치하게 되면 사용자 휴대전화에 저장된 연락처가 상대방에게 전송된다. 데이터는 추후 보이스 피싱 등 범행에 악용될 수 있다.

이는 상호 소통형 e메일 피싱 방식과 유사하다. 기업 등을 사칭해 e메일을 보낸 뒤 사용자가 답변을 보내면 악성 코드가 담긴 메일을 회신하는 사기 수법이다. 이번엔 e메일 대신 카카오톡을 이용했다.

ESRC는 “현재까지 파악한 앱들에는 연락처 수집 기능만 있지만 향후 다양한 기능이 추가될 가능성이 있다”며 “낯선 사람에게서 온 카카오톡에는 답변하지 말고, 특히 구글 플레이가 아닌 다른 경로로 받은 ‘.apk’ 포맷의 파일은 절대 설치하지 말기 바란다”고 당부했다. 함께 “알약M(이스트시큐리티의 보안 앱)을 통해 관련 악성 앱들에 대해 지속해서 탐지 중”이라고 밝혔다.

이예지 동아닷컴 기자 leeyj@donga.com