posted by 알짜 정보 岳岩 2019.06.27 08:11

캘린더에 초대장, 이벤트 자동 추가하는 서비스 기능 악용
[보안뉴스 양원모 기자] 구글 캘린더 알림을 통해 사용자에게 접근해 개인 정보를 빼가는 신종 피싱인 ‘캘린더 피싱’이 등장해 주의가 요구된다. 피싱은 사용자의 캘린더에 초대장과 이벤트를 자동으로 추가하는 온라인 캘린더 서비스의 기능을 악용한 것으로 조사됐다. 

[이미지=iclickart]


카스퍼스키 연구진은 5월 한 달 동안 사용자가 추가하지 않은 다수의 캘린더 팝업 알림이 스패머들이 발송한 스팸 이메일로 드러났다고 26일 밝혔다. 이 스팸메일은 지메일(Gmail) 스마트폰 사용자를 위한 기본 기능인 ‘초대장 자동 추가’ 및 ‘알림 기능’을 악용했다. 범죄자들이 피싱 URL이 포함된 캘린더 초대장을 발송하면, 초대장 팝업 알림이 스마트폰 홈 화면에 표시돼 수신자들의 무의식적인 링크 클릭을 유도한다. 
연구진이 발견한 사례 대부분은 간단한 설문조사 웹 사이트로 연결됐고, 참가하면 상금을 탈 수 있다는 제안을 담고 있었다. 클릭한 사용자들은 상금을 받으려면 신용카드 정보와 이름, 전화번호, 주소 등 일부 개인 정보를 입력하라는 요청을 받게 된다. 하지만 이 정보는 범죄자들에게 전달돼 사용자의 돈이나 개인 정보를 탈취하는 데 사용된다.
카스퍼스키코리아 이창훈 지사장은 “이메일이나 메신저를 사용하는 스팸 수법은 워낙 많이 알려져서 사람들이 잘 신뢰하지 않는데 반해 캘린더 피싱, 특히 캘린더 앱을 통한 피싱은 그렇지 않다. 정보를 전달하는 것이 목적이 아니라 일정 관리가 주 목적이기 때문”이라며 “캘린더 피싱에 악용된 기능은 설정에서 쉽게 해제할 수 있다”고 말했다. 
카스퍼스키는 악성 스팸 피해를 입지 않기 위해 2가지 조치를 취할 것을 권고했다. 
1) 캘린더에 초대장 요청을 자동으로 추가하는 기능을 해제한다. 구글 캘린더를 연 다음 설정 -> 일정 설정으로 이동한다. ‘초대장 자동 추가’ 옵션의 드롭다운 메뉴에서 ‘아니오, 회신한 초대장만 표시합니다’ 를 선택한다. 거절한 일정을 볼 필요가 없다면 그 아래에 있는 보기 옵션 섹션에서 ‘거절한 일정 표시’는 체크 표시를 해제한다. 
2) 자동으로 주소가 변환돼 접속된 웹 사이트가 합법적이며 안전한지 확신할 수 없다면, 절대 개인 정보는 입력하지 않는다. 보안뉴스