23일 순천향대 SCH사이버보안연구센터에 따르면 단축 URL(인터넷 정보 위치 주소)을 이용해 악성코드를 내려받는 방식도 기존 스미싱 대응 시스템에 의해 탐지할 수 있어지자 이를 우회하기 위해 캡차(CAPTCHA) 코드까지 동원하는 방식으로 진화하고 있다.
캡차 코드는 사람과 컴퓨터를 구분하기 위해 사람만이 인지할 수 있는 문자가 포함된 변형된 이미지를 보여주고 해당 문자를 입력해야지만 원하는 다음 단계가 처리되게 하는 기술이다.
진화된 스미싱은 공격자는 기존 탐지 시스템을 우회하기 위해 피해자가 단축 URL을 클릭하면 바로 악성코드가 자동으로 다운로드 되게 하는 것이 아니라 피해자를 임의로 만들어둔 웹 페이지로 먼저 유도한다.
그러고 나서 피해자가 캡차 코드를 입력한 후에만 스미싱 악성코드가 다운로드 되도록 하는 방식으로 변경됐다.
SCH사이버보안연구센터장 염흥열 교수는 "스미싱 대응 시스템도 캡차 코드 인식 기능을 추가해 대응할 필요가 있다"며 "앞으로 더욱 고도화된 방식을 이용할 공격자들의 공격 방식에 대한 지속적인 연구와 추적이 필요하다"고 말했다.