[보안뉴스]이통사 인증 ‘패스’ 앱 모방 피싱 증가에 누리랩, ”출처 불명 URL 절대 클릭 금지” 주의

내용 요약

공공기관을 사칭한 문자와, PASS 앱을 모방한 피싱 사이트가 급증하고 있어 주의가 필요하다. AI 기반 안티 피싱 솔루션 ‘에스크유알엘(AskURL)’이 이러한 위협을 탐지하며, 보이스피싱·악성앱 설치 가능성까지 우려된다. 본 문서에서는 AskURL의 동작 원리, 피싱 시나리오, 보이스피싱 및 악성앱 위험, URL 분석 기술, 머신러닝 모델, 그리고 사용자가 방어할 수 있는 실전 방안까지 상세히 다룬다.

핵심 포인트

• AskURL은 AI를 활용해 문자·링크를 실시간 분석해 피싱 여부를 판정한다.
• PASS 앱을 모방한 피싱 사이트는 공공기관 정보를 유인해 개인정보를 탈취한다.
• 보이스피싱은 전화·음성 채널을 통해 사회공학적 접근을 시도한다.
• 악성앱은 정식 앱처럼 보이지만 개인정보를 훔치거나 기기 제어를 한다.
• URL 분석은 도메인, SSL, WHOIS, 콘텐츠 등 다양한 피처를 활용한다.
• 머신러닝 모델(GBDT, DNN 등)이 다중 피처를 종합해 악성 여부를 결정한다.
• 사용자는 출처 불명의 링크 클릭 금지, 메시지 송신자 확인, 보안 소프트웨어 사용 등을 통해 방어할 수 있다.
• 정부는 디지털 서명, 인증서 정책 등 규제를 강화하고 있다.

기술 세부 내용

1️⃣ AskURL AI 기반 안티 피싱 솔루션

AskURL은 문자·URL을 수집해 실시간으로 분석하는 플랫폼이다.
- 데이터 수집: 모바일 메시지(문자, 카카오톡, SMS), 이메일, 웹 트래픽에서 URL을 자동 수집.
- 전처리: URL 파싱(스킴, 도메인, 경로, 쿼리), DNS 조회(IP, TTL), WHOIS 정보 추출.
- 피처 엔지니어링:
- 도메인 피처: 도메인 나이, TLD, 레지스트라, 접미사, 도메인 평판(블랙리스트/화이트리스트).
- URL 구조 피처: 경로 길이, 쿼리 파라미터 수, 특수문자 사용, 암호화 여부(HTTPS).
- 콘텐츠 피처: 로딩된 페이지의 메타데이터, 스크립트, 이미지, 링크 수.
- 행동 피처: 클릭 패턴, 접속 빈도, 사용자 레이턴시.
- 모델링:
- GBDT(Gradient Boosting Decision Tree): 빠른 예측 속도와 해석 가능성.
- DNN(Deep Neural Network): 복잡한 비선형 관계 학습, 특히 이미지/텍스트 기반 피싱 탐지에 활용.
- 실시간 평가: 수집된 URL을 모델에 투입해 점수(0~1)를 부여, 일정 임계값 초과 시 알림 전송.
- 피드백 루프: 사용자 신고, 해시 기반 차단 목록 업데이트, 모델 재학습.

AskURL은 클라우드와 모바일 에이전트가 상호작용하며, 사용자가 알 수 없는 링크를 클릭하기 전 경고창을 띄운다.

2️⃣ PASS 앱을 모방한 피싱 시나리오

PASS는 정부·공공기관에서 제공하는 공공서비스 인증·정보 제공 앱이다.
- 피싱 목표: 사용자의 공공 ID, 주민등록번호, 은행계좌 정보 등 민감 데이터 유출.
- 시나리오:
1. 사칭 문자: "공공기관 인증센터"라고 표시된 문자와 함께 ‘https://www.pass-xxxxx.com’ 같은 URL 제공.
2. 피싱 사이트: 실제 PASS 앱의 로그인 페이지와 거의 동일하게 디자인된 가짜 사이트.
3. 피싱 로직: 사용자가 입력한 ID/비밀번호를 서버로 전송해 탈취.
4. 유연한 도메인: 사칭 도메인은 짧은 시간 동안 유효하게 등록하거나, 프리미엄 도메인으로 가짜 인증을 보이게 함.
- 피해 규모: 사용자가 재정 거래를 위해 PASS 앱을 이용하면 바로 돈이 이체되는 경우가 많다.

3️⃣ 공공기관 사칭과 사회공학

공공기관 사칭은 신뢰도를 활용한 사회공학 공격이다.
- 특징:
- 공식 로고·상표·기관명 포함.
- 긴급성(예: “안전 인증 필요”), 공식 문서 형식.
- 피해 방지:
- 공공기관의 공식 인증 도메인(공식 도메인 목록을 검증).
- 내부 교육(공식 문서와 실제 문서 차이).

4️⃣ 보이스피싱 (Voice Phishing)

보이스피싱은 전화·음성 채널을 통해 정보를 유출한다.
- 전술:
- 공공기관·은행 직원을 사칭, “안전 인증을 위해 주민등록번호를 말씀해 주세요” 등.
- 긴급 상황(예: 범죄 신고, 세금 미납) 언급.
- 기술적 대응:
- 음성 인식 및 분석: 스크립트 일관성, 음성 합성(Voice Synthesis) 감지.
- 시그니처 기반: 반복되는 악성 음성 패턴 데이터베이스.
- 통화 기록 분석: 통화 시각, 출발지 번호, 통화 길이 패턴.

5️⃣ 악성앱 설치 위험

피싱 링크를 클릭하면 가짜 PASS 앱이 내려받아 설치된다.
- 악성 행위:
- 백그라운드에서 위치, 연락처, 사진 등을 수집.
- 기기 제어(키로거, 원격 조작).
- 모바일 결제 취소(앱 결제 API 호출).
- 위험 완화:
- 앱 서명: 디지털 서명 검증, 비공식 서명 차단.
- 앱 스토어 정책: Play 스토어, App Store에서 악성 앱 차단.
- 사용자 권한 최소화: 설치 시 권한 요청 최소화, 필요 시 차단.

6️⃣ URL 분석 기술

실시간 URL 분석은 피싱 탐지의 핵심이다.
- DNS 기반 분석:
- IP 범위 차단, PTR 레코드 일치 여부.
- SSL/TLS 분석:
- 인증서 체인 검증, 유효 기간, 서명 기관.
- WHOIS 분석:
- 등록자, 등록일, 도메인 수명.
- 콘텐츠 기반 분석:
- HTML 구조, JavaScript 난독화 여부.
- 이미지 OCR(텍스트 추출)와 스캔.
- 동적 분석:
- sandbox 환경에서 페이지 로드 후 행동 기록.

7️⃣ 머신러닝 모델 상세

AskURL과 같은 솔루션은 다양한 ML 모델을 결합한다.
- GBDT:
- 각 피처의 중요도를 제공, 해석 가능성.
- DNN:
- 다층 인공신경망으로 복합 피처 학습.
- 이미지/텍스트 피처를 함께 학습해 높은 정확도.
- 강화학습:
- 사용자 피드백(정확/부정)을 이용해 모델 업데이트.
- 컨테이너 기반 모델:
- 가벼운 모델을 모바일 기기에 배포해 오프라인 판별 가능.

8️⃣ 사용자를 위한 실전 방어

• 출처 불명의 링크 금지:
  • 문자·이메일에서 URL 미리보기, 도메인 검증.
• 보안 소프트웨어:
  • 모바일 보안 앱(360, Kaspersky, Avast) 설치, 실시간 차단.
• 정기적 업데이트:
  • OS, 앱, 보안 패치 최신화.
• 2FA(2단계 인증):
  • 인증서 기반 MFA, OTP, 인증 앱 활용.
• 디지털 서명 교육:
  • 앱 서명 검증, 인증서 체인 확인 방법 교육.

9️⃣ 규제·정책 측면

• 정부의 디지털 서명 정책:
  • 전자문서 인증서, 공인인증서 사용 강화.
• 불법 콘텐츠 차단:
  • 정부가 운영하는 URL 블랙리스트, 사이버 범죄 신고 시스템.
• 정보보호법:
  • 개인정보 유출 시 법적 책임, 과징금.
• 공공기관 내부 보안 프로세스:
  • 인증서 관리, 보안 교육 프로그램 운영.

미래 동향 및 도전 과제

• 딥페이크 음성:
  • 보이스피싱에서 자연스러운 음성 합성이 점점 정교해짐.
• 멀티모달 학습:
  • 이미지·텍스트·음성·네트워크 특징을 동시에 학습해 더 높은 탐지율 도달.
• Federated Learning:
  • 사용자 개인정보 보호를 위해 모바일 기기에서 모델 학습 후 중앙에 업데이트.
• Zero-Day 피싱:
  • 새로운 도메인, SSL 인증서가 즉시 발급되어 탐지 사이에 시간 차 발생.

---

위 내용을 통해 보이스피싱·악성앱, 그리고 AskURL 같은 AI 기반 피싱 탐지 솔루션이 어떻게 작동하며, 사용자가 실제로 방어할 수 있는 구체적인 조치를 이해할 수 있다. 공공기관 사칭 문자와 PASS 앱 모방 피싱은 현재 가장 급증하는 위협이므로, 조직과 개인 모두 적극적인 보안 인식이 필요하다.

 

출처: http://www.boannews.com/media/view.asp?idx=138960&kind=&sub_kind=