IT >

최강 보안 메신저라더니…해커는 왜 텔레그램 사용자들을 노렸나

7월 한달동안 텔레그램 피싱 253건 발생…18일 새벽부터 확산 절취한 계정 지인들에 악성링크 보내 개인정보 빼내는 수법 고전적인 방법이지만, 사용자들은 텔레그램 보안 수준 믿고 의심 안해
텔레그램 업데이트 사칭 메시지(사진=KISA 제공) *재판매 및 DB 금지
텔레그램 업데이트 사칭 메시지(사진=KISA 제공) *재판매 및 DB 금지

【서울=뉴시스】송혜리 기자 = #전달된 메시지
너의 소중한 친구가 보냄

내가 보낸 것은 계정을 찾고 해커가 계정을 도용하는 것을 방지하지 위한 공식 링크로, 확인하는 것이 더 안전합니다.

<친애하는 텔레그램 사용자 여러분 : 텔레그램 사용 정책을 위반했기 때문에 시스템 감지 결과 불법 사용이 발견되었습니다. 계정의 일부 기능이 제한되지 않도록 24시간 이내에 공식 웹사이트에 로그인 하십시오. 계정이 정상인지 확인하기 위해 인증을 완료하십시오. 인증이 완료되지 않으면 시스템에서 24시간 이내에 계정을 강제로 해지합니다. 정식 인증이 완료되면 무시하십시오.>

최근 이처럼 텔레그램 계정 재인증을 빌미로한 스미싱 공격이 기승을 부리고 있다.

공격자들은 국내 텔레그램 사용자의 계정을 절취한 뒤, 피해자의 지인들에게 공식계정과 유사하게 만든 피싱 링크를 무작위로 배포하고 있어 사용자들의 각별한 주의가 필요하다.

보안 당국은 안전한 비밀번호를 사용하고, 보안 설정을 강화해 계정 탈취 예방을 생활화해야 한다고 당부했다. 아울러 2차 피해 방지를 위해선 조금이라도 의심이 되는 링크는 클릭하지 않아야 한다고 당부했다.

◆"내가 보낸 링크 확인하는 것이 안전해"…지인 사칭해 URL 클릭 유도

31일 과학기술정보통신부와 한국인터넷진흥원(KISA)은 '상반기 주요 사이버위협 동향 분석'을 통해 최근 텔레그램 계정 관련해 민원·상담이 253건 발생했다고 밝혔다.

KISA 관계자는 "지인을 사칭하거나 보안관계자로 위장해 불특정 사용자들의 개인정보를 탈취하려던 기존 피싱사이트 공격이 최근에는 텔레그램 등 메신저 계정을 노린 공격으로 변화하고 있다"면서 "이는 메신저 프로그램에 보관된 대화내용이나 개인정보 등을 탈취하기 위한 목적으로 분석된다"고 설명했다.

이번 피싱 공격은 지난 18일 새벽부터 확산되기 시작했다. 텔레그램 계정정보를 절취한 뒤, 해당 계정 이용자의 연락처 중 무작위로 피싱 메시지를 보내는 고전적인 방법이었다.

텔레그램 계정을 어떻게 해킹한 것인지는 알 수 없지만 '크리덴셜 스터핑' 공격을 통해 텔레그램의 비밀번호를 탈취했을 가능성에 무게가 실리고 있다. 크리덴셜 스터핑은 공격자가 이미 유출되거나 사전에 탈취한 사용자 계정(ID)과 비밀번호를 다른 사이트에 마구 대입해 비밀번호를 알아내는 수법을 말한다.

텔레그램 계정을 해킹한 공격자는 피해자의 계정으로 지인들에게 "텔레그램 사용 정책을 위반했기 때문에 시스템 감지 결과 불법 사용이 발견됐다. 계정의 일부 기능이 제한되지 않도록 24시간 이내에 공식 웹사이트에 로그인하라"며 계정 재인증을 요구하는 메세지를 보냈다.

특히 "내가 보낸 것은 계정을 찾고 해커가 계정을 도용하는 것을 방지하지 위한 공식 링크로, 확인 하는 것이 더 안전하다"는 메세지와 함께 보낸 인터넷주소(URL)를 클릭하도록 유도했다. 게다가 URL주소는 수신자가 의심 없이 클릭을 하도록 ▲telegram.Org.host ▲telegrim ▲telegramvip 등 공식계정과 유사하게 만들었다.

수신자가 URL를 클릭하고, 개인정보를 입력하면 지인 연락처 등까지 그대로 외부 유출된다. 이 같은 공격은 안드로이드나 IOS 등 스마트폰 운영체제 구분 없이 이뤄지고 있다.

박용규 KISA 침해사고분석단장은 "지인을 사칭하거나 보안관계자로 위장해 불특정 사용자들의 개인정보를 절취하려던 메세지 피싱 공격이 텔레그램으로 확산하고 있다"며 "카카오톡 등은 메신저 피싱 발생 이후 2차 인증이 강화돼 계정 탈취 사례가 많이 줄었지만, 텔레그램의 경우 해외 기반 메신저라 국내 메신저보다는 보안 대응이 즉각적이지 않다는 것을 노린 것으로 보인다"고 설명했다.

한국법인이 없고 본사 현업과의 커뮤니케이션조차 어려운 텔레그램의 운영구조로 한국 정부의 수사 또한 쉽지않다는 점도 텔레그램 메신저 피싱이 늘어난 이유로 꼽힌다.

◆"메신저 접속 시 2차 인증 설정, 메시지 수신 시 출처 불분명한 사이트 접속은 자제해야"

보안 당국은 아직까지 구체적인 피해 규모는 확인되지 않았고 밝혔지만, 텔레그램 피싱은 속수무책으로 확산되고 있다. 텔레그램은 유명 정치인들이나 관료, 정보를 다루는 공공기관, 기업 고위 관계자 등이 보안을 이유로 사용하는 만큼, 실제 피해가 발생한다면 그 파장은 클 것으로 예상된다.

벌써 전임 법무부 장관인 박범계 의원도 피해를 입은 사실이 밝혀지는 등 고위공직자들의 피해도 잇따르고 있다. 박 의원의 계정으로 주요 당직자와 기자들에겐 공격자의 메시지가 전해진 것으로 알려졌다. 이 때문에 지난 19일 더불어민주당은 당내 공지를 통해 "최근 텔레그램 해킹이 빈번하게 발생하고 있다"며 "당직자께선 텔레그램에 확인되지 않은 링크를 클릭하는 등 해킹 피해에 노출되는 일이 없도록 주의해 달라"고 밝히기도 했다.

텔레그램을 이용한 피싱이 확산하자 당국도 사용자 주의를 당부하고 나섰다.

우선, 텔레그램 사용자는 기본적으로 개인용 컴퓨터와 스마트폰 보안을 강화하기 위해 메신저 접속 시 2차 인증 설정을 해야 한다. 아울러 하나의 아이디와 비밀번호로 여러 플랫폼과 웹사이트를 사용하는 것을 지양해야 한다. 기억하기 쉽다는 이유로 통일된 아이디와 비밀번호를 사용하면, 웹사이트 한 곳에서만 계정과 비밀번호가 유출돼도 여러 웹사이트에서 계정을 도용한 개인정보 유출, 금전 피해 등을 입을 수 있다.

2차 피해를 막기 위해선, 메시지 수신 시 출처가 불분명한 사이트 접속은 자제하는 것이 필요하다.
만일 피싱 메시지를 수신했다면 절대로 접속하거나 사용자 정보를 입력해서는 안 된다. 피해가 발생할 경우 국번 없이 118로 즉시 신고해야 하며 '내PC모바일 돌보미' 서비스를 이용해 필요한 조치를 지원 받을 수 있다.

과기정통부와 KISA는 "텔레그램 메신저를 사칭한 피싱 공격이 지속될 것으로 예상됨에 따라 유사한 피싱 사이트를 신속하게 탐지해 차단 중이며, 집중 모니터링을 강화하는 등 유사시 사고 대응을 위한 대비에 만전을 기하고 있다"고 밝혔다.

☞공감언론 뉴시스 chewoo@newsis.com <저작권자ⓒ 공감언론 뉴시스통신사. 무단전재-재배포 금지.>