사이버 공격자들은 클라우드 및 모바일 비즈니스 애플리케이션의 보안 격차를 악용해 데스크톱을 넘어 모바일로 공격 표면을 확장하고 자격 증명 도용 및 데이터 손상에 대한 노출을 확대하고 있다.

이러한 공격에 대응하기 위해 데스크톱용으로 설계된 기존의 안티 피싱 조치는 모바일을 대상으로 하는 공격에 대응하기에 적합하지 않다. 따라서 이에 모바일 장치의 보안을 위해서는 모바일 위협 방어 솔루션으로 전환하는 것이 필요하다.

글로벌 모바일 보안 기업 짐페리움(Zimperium)이 2024년의 모바일 피싱 공격의 진화하는 환경을 분석한 ‘2024년 모바일 피싱 보고서’를 발표했다.

이 보고서는 2024년 모바일 피싱 벡터에 대한 데이터 기반 분석을 통해 조직이 점점 더 정교해지는 위협에 대처하기 위해 모바일 전용 보안 전략의 필요성을 강조했다.

이번 조사 결과 스미싱(SMS/문자 기반 피싱)은 인도에서 37%, 미국에서 16%, 브라질에서 9%의 공격이 발생하는 등 가장 일반적인 모바일 피싱 벡터로 기록됐다. 한편, 큐싱(QR 코드 피싱)이 신종 위험으로 등장하고 있으며, 일본(17%), 미국(15%), 인도(11%)에서 활동이 보고됐다.

또한 피싱 사이트의 3%는 장치별 리디렉션을 사용했으며, 데스크톱에서는 양성 콘텐츠를 표시하면서 모바일 장치를 피싱 페이로드로 타겟팅했다. 스미싱 활동은 2024년 8월에 정점을 찍었으며, 이 시기에 하루 1000건 이상의 공격 기록이 발생했다.

보고서에 따르면 공격자들이 여러 피싱 도메인을 호스팅하기 위해 CIDR(Classless Inter-Domain Routing) 블록을 재사용해 공격 범위와 지속성을 확장하고 있다고 분석했다. 이는 조직이 다단계 인증 및 모바일 우선 애플리케이션을 포함해 비즈니스 운영에 모바일 장치를 점점 더 많이 사용함에 따라 모바일 피싱은 기업 보안에 심각한 위험을 초래한다고 분석했다.

짐페리움의 수석 과학자 니코 치아라빌리오(Nico Chiaraviglio)는 “스미싱은 기존의 모바일 피싱 전술의 진화일 뿐만 아니라 카메라와 같은 모바일 장치의 특정 기능과 취약점을 악용하도록 설계된 완전히 새로운 공격 범주이다.”라며 “보고서에 따르면 공격자들은 SMS, 이메일, QR 코드 및 음성 피싱(비싱)을 포함한 여러 모바일 전용 채널을 점점 더 활용하여 사용자 행동을 악용하고 공격 표면을 확장하고 있다.”라고 전했다.