개요
▲ 2026년 텔레그램 로그인 스미싱 급증 추이 (출처: AhnLab ASEC)
2024년 이후 약 2년간 잠잠하던 텔레그램 계정 탈취 스미싱 공격이 2026년 5월 다시 확인됐다. 안랩 ASEC이 분석한 이번 캠페인은 보안 알림을 사칭한 메시지로 사용자를 피싱 페이지로 유도하여 로그인 자격증명을 탈취하는 방식이다.
공격 흐름
문자 수신
텔레그램 보안 알림을 사칭한 스미싱 문자 수신 — “계정 보호”, “로그인 확인” 등 긴급성 문구 포함
링크 클릭
첨부 링크 클릭 시 실제 텔레그램과 시각적으로 동일한 가짜 로그인 페이지로 이동
전화번호 입력
피해자가 전화번호 입력 → 공격자 서버가 실시간으로 실제 텔레그램에 인증코드 발송 요청
인증코드 릴레이 (AiTM)
피해자가 피싱 페이지에 인증코드 입력 → 공격자가 실시간 수집 후 계정 탈취
핵심 기법
1. 사회공학 메시지
“보안 문제”, “계정 보호”, “로그인 확인” 등을 사칭한 긴급성 메시지로 사용자를 유도한다.
2. 피싱 페이지 위장
실제 텔레그램 로그인 인터페이스와 시각적으로 거의 동일한 가짜 페이지를 제작한다.
▲ 2024년(좌)과 2026년(우) 피싱 페이지 비교 — 동일한 방식 지속 (출처: AhnLab ASEC)
3. User-Agent 탐지 우회
피싱 서버가 방문자의 User-Agent를 검사하여, 보안 연구자·크롤러·PC 환경으로 식별되면 정상 텔레그램 사이트로 리다이렉트한다. 자동화 분석 및 보안 담당자의 탐지를 회피하기 위한 목적이다.
▲ 피싱 서버의 User-Agent 검사 및 우회 로직 코드 (출처: AhnLab ASEC)
4. 실시간 2FA 릴레이 (AiTM)
단순 자격증명 탈취가 아닌, 피해자가 입력한 전화번호를 실시간으로 이용해 실제 텔레그램 인증코드를 발송시키고, 해당 코드까지 피싱 페이지에서 수집하는 AiTM(Attacker-in-the-Middle) 방식을 사용한다.
피해 범위
- 개인 메시지 및 연락처 노출
- 탈취된 계정을 통한 2차 스미싱 발송 (지인 연쇄 감염)
- 투자·금융 사기 (텔레그램의 비즈니스 채널 악용)
대응 방안
| 조치 | 내용 |
|---|---|
| 2단계 인증 설정 | 설정 → 개인정보 보호 → 2단계 인증 활성화 |
| 의심 링크 차단 | 보안 알림 사칭 문자의 링크 클릭 금지 |
| 활성 세션 확인 | 설정 → 기기 → 알 수 없는 세션 즉시 종료 |
| 외부 입력 거부 | 텔레그램 인증코드를 외부 사이트에 절대 입력 금지 |