"친구 돼 있던데 누구시죠?"…낯선 이의 카톡, 답장했다가 다 털린다

"카톡 친구 정리하다 발견했는데 누구시죠? 저는 XX에 사는 OOO라고 합니다."

카카오톡(카톡)으로 이 같은 메시지를 받으면 대답하기 전 의심해봐야 한다. 최근 카톡 친구로 등록돼 있다고 접근한 뒤, 악성 애플리케이션(앱) 설치를 유도해 사용자의 연락처를 빼내는 사례가 발생하고 있기 때문이다.

21일 한국의 정보기술(IT) 보안 전문 기업 이스트시큐리티의 시큐리티대응센터(ESRC)는 최근 이 같은 수법의 범죄 행각이 다수 발견됐다고 밝혔다.

ESRC에 따르면, 이번에 확인된 공격은 불특정 다수를 대상으로 하며, 카카오톡으로 공격을 진행한다. 공격자는 상대방이 카카오톡 친구로 등록돼 있다거나, 친구 추천에 나타났다며 접근한다.

예를 들어 '카카오톡 친구 목록을 정리하다 발견해 메시지 드린다. 실례지만 누군지 알려달라' 등의 메시지를 보낸다. 필라테스나 폴댄스 강사 등을 사칭하며 접근하기도 한다.

공격자는 상대방이 해당 메시지에 반응을 보이면, 평범한 대화를 이어가며 친밀감과 신뢰를 쌓는다. 그러면서 슬쩍 데이트 앱 등 설치파일(.apk)을 보내 설치를 유도한다. 그런데 이 앱을 설치하면 사용자 휴대전화에 저장된 연락처가 모두 공격자에게 전송돼 악용될 수 있다. 데이터는 보이스 피싱 등 범행에 사용될 수도 있다.

ESRC는 "(이번 분석을 통해) ESRC에서 수집한 앱들의 경우 연락처 수집 기능만 있지만 향후 다양한 기능이 추가될 가능성이 존재하는 만큼 이용자들의 각별한 주의가 필요하다"고 했다.

이어 "낯선 사람에게 온 카카오톡에는 답변하지 말고 특히 구글플레이가 아닌, 다른 경로로 전달받은 '.apk 파일'은 절대 설치하지 말기 바란다"고 했다.