다단계 인증(MFA) 무력화하는 피싱 공격: 디지털 지갑 프로비저닝의 위협

최근 다단계 인증(MFA)을 우회하는 정교한 피싱 공격이 급증하고 있어 사용자들의 주의가 요구됩니다. 과거 일회용 비밀번호(OTP)만으로도 충분했던 보안이 이제는 더 이상 안전하지 않다는 경고입니다.

진화하는 피싱 공격 수법

과거에는 단순히 개인 정보를 빼내는 수준이었던 피싱 공격이 이제는 실시간 디지털 지갑 프로비저닝을 통해 다단계 인증을 무력화하는 방식으로 진화했습니다. 공격자들은 SMS, iMessage, RCS 메시지 등을 통해 일상적인 상황(통행료 미납, 택배 배송 등)을 사칭하여 가짜 웹사이트로 사용자를 유도합니다. 사용자들은 자신도 모르는 사이에 민감한 개인 정보와 결제 카드 정보를 입력하게 되고, 공격자들은 이를 이용하여 디지털 지갑에 카드 정보를 등록하여 MFA를 우회합니다.

"Lao Wang"과 텔레그램 채널 "dy-tongbu"

"Lao Wang"이라는 인물이 개발한 것으로 알려진 모바일 기반 크리덴셜 수집 플랫폼이 공격에 활용되고 있으며, 텔레그램 채널 "dy-tongbu"를 통해 피싱 키트가 빠르게 확산되고 있습니다. 이 키트들은 지오펜싱, IP 차단, 모바일 기기 타겟팅 등 정교한 기술을 사용하여 탐지를 회피하고, 의도된 대상에게만 피싱 페이지를 노출합니다.

디지털 지갑 악용의 심각성

연구자들은 이러한 디지털 지갑 악용이 카드 사기 수법의 "근본적인" 변화라고 지적합니다. 공격자들은 훔친 카드 정보를 이용하여 오프라인 매장, 온라인 쇼핑몰, 심지어 ATM에서도 카드 없이 결제를 할 수 있게 됩니다. 이는 기존의 스미싱 공격을 넘어 가짜 이커머스 사이트나 가짜 증권 플랫폼을 통해 실제 거래를 유도하여 정보를 수집하는 방식으로까지 확장되고 있습니다.

피해 규모와 대응 방안

전문가들은 이러한 공격으로 인해 최대 1억 1,500만 건의 미국 결제 카드가 유출되었을 수 있다고 경고합니다. 현재까지 피해 규모를 정확히 파악하기는 어렵지만, 사용자들은 다음과 같은 방법으로 피해 가능성을 확인하고 예방해야 합니다.

• 최근 거래 내역 확인
• 예상치 못한 디지털 지갑 활동 모니터링
• 자신이 요청하지 않은 인증 또는 OTP 요청 확인
• 개인 정보 유출 사고 알림 서비스 확인
• 거래 알림 기능 활성화

기존 보안 시스템의 한계

정교한 타겟팅을 사용하는 스미싱 캠페인의 특성상, 표준 보안 시스템, 방화벽, SMS 필터 등 기존의 보안 시스템만으로는 효과적인 방어가 어려울 수 있습니다. 카드 발급 기관과 은행들은 이러한 진화하는 위협에 대응하기 위해 새로운 방어 전략을 모색해야 합니다.

맺음말

점점 더 정교해지는 피싱 공격에 맞서 사용자들은 개인 정보 보호에 더욱 주의를 기울여야 합니다. 의심스러운 링크는 클릭하지 않고, 개인 정보 입력 시에는 반드시 해당 웹사이트의 주소를 다시 한번 확인하는 습관을 들이는 것이 중요합니다. 또한, 최신 보안 정보를 꾸준히 학습하고, 보안 전문가들의 권고 사항을 따르는 것이 피해를 최소화하는 데 도움이 될 것입니다.