Home > 전체기사
[보.알.남] 사용자 ‘낚는’ 문자 메시지 사기, 스미싱
  |  입력 : 2020-10-08 10:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
교묘한 문자 메시지로 사용자를 속여 주요 정보를 빼돌리는 수법
2006년 처음 등장한 용어로, 스마트폰이 보급된 2012년부터 성행
문자 속 URL 누르지 않기, URL로 받은 앱 설치하지 않기 등으로 예방 가능


[보안뉴스 이상우 기자] 해마다 명절이나 기념일 등이 오면 더욱 기승을 부리는 사기 수법이 있다. 안부 인사 속에 숨어있는 ‘스미싱’ 이야기다. 올해도 추석 연휴가 시작되기 전부터 정보보호 관련 기관이나 주요 택배 업체에서 스미싱을 주의할 것을 당부했다. 소식이 뜸한 사람의 안부 인사나 선물 택배로 인해 관련한 문자 메시지가 늘어나는 만큼 스미싱에 속을 가능성도 커지기 때문이다.

스미싱(SMiShing)이란 문자 메시지(SMS)와 개인정보를 이용한 사기(피싱, Phshing)의 합성어로, 이름처럼 문자 메시지를 통해 사용자를 ‘낚는’ 사기 수법이다. 문자 메시지에 포함된 웹 주소(URL)를 통해 사용자가 악성 앱을 설치하도록 유도하거나 악성코드 유포, 개인정보 유출 등을 위한 사이트로 접속하게 만든다.

한국인터넷진흥원에 따르면 지난 2019년 상반기 탐지한 스미싱 건수는 17만 6,220건으로, 전년 동기(14만 5,093)와 비교해 21.5% 증가했다. 특히, 올해는 코로나19 발생과 관련해 마스크 공급, 재난지원금 수령 등으로 사용자를 교묘히 속이는 공격 역시 등장하고 있다.

[사진=utoimage]


스미싱은 언제부터 시작됐을까
스미싱이라는 용어는 맥아피 알버트 랩(현재 맥아피 랩) 블로그에서 2006년 8월 25일 등장한다. 현재는 해당 포스트가 존재하지 않지만, 당시 이를 보도한 PC월드에 따르면 ‘데이트 서비스 가입하셨음을 확인하는 중입니다. 주문을 취소하기 전까지 매일 2달러를 청구합니다’는 내용과 함께 URL을 포함한 메시지가 ‘VBS/Eliles’라는 이름의 웜을 통해 전송됐다. 이 URL로 직접 접속할 수 있는 휴대폰이 드물었던 시기인 만큼, 사용자는 PC를 통해 해당 주소로 접속했고, 공격자는 이를 통해 사용자 PC에 트로이 목마를 주입했다. 불필요한 부가서비스에 대한 거부감과 함께 피싱에 주로 쓰이던 메일이나 메신저 대신 의심을 덜 사는 휴대폰 문자 메시지를 이용했다는 점에서 당시로선 획기적인 방법이었으리라 예상한다.

[사진=utoimage]


과거에는 문자 메시지에 포함된 URL을 PC에 직접 입력하는 형식이고, 실제 공격 대상도 PC에 머무를 수밖에 없었다. 하지만 언제 어디서나 인터넷에 쉽게 접속할 수 있는 스마트폰이 보급되면서 스미싱의 위협도 커졌다. 문자 메시지에 포함된 URL을 누르는 것만으로 모바일 웹 브라우저가 동작하므로, 공격자는 이를 통해 사용자 스마트폰에 악성 앱을 전송하거나 가짜 사이트를 통해 사용자가 직접 자신의 정보를 입력하도록 속인다.

최근 스마트폰은 단순히 전화나 문자 메시지를 보내는 기기를 넘어 카메라로 일상을 기록하고, 금융 서비스를 이용하고, 업무를 처리하는 등 우리 삶에 가까운 정보를 담고 있는 기기로 점점 더 진화하고 있다. 그만큼 스미싱 공격을 통해 노출될 수 있는 정보 역시 다양해졌다는 의미다.

스미싱 유형
오늘날 스미싱 메시지는 악성 사이트로 유도해 사용자의 개인정보를 탈취하는 방법이나 URL을 통해 악성 앱을 내려받게 하는 방식이 널리 쓰인다. 특히, 문자 메시지 내용도 공공기관을 사칭하거나, 지인인 것처럼 가장하는 경우도 많아 사용자에게 혼란을 준다.

우선 악성 사이트로 유도하는 방식을 예로 들면, ‘[ㅇㅇ택배] 도로명 주소 변경으로 택배 반송. 주소 확인 요망’ 등의 내용과 함께 URL을 보내고, 해당 택배 업체 사이트와 비슷한 피싱 사이트로 접속을 유도한다. 사용자가 이러한 페이지에 속아 이름, 전화번호, 주소 등 주요 개인정보를 입력한다면 이를 통해 2차 범죄에 노출될 수 있다.

[이미지=한국인터넷진흥원]


이러한 형태는 문자 메시지뿐만 아니라 소셜 미디어의 DM(다이렉트 메시지)를 통해 이뤄질 수도 있다. 예를 들어 ‘님 사진 도용된 듯... 확인해보세요’라며 링크를 보내고 이를 통해 해당 소셜 미디어와 동일한 인터페이스의 피싱 사이트로 유도한다면 사용자는 자신도 모르게 계정과 비밀번호를 입력하게 된다. 공격자는 이 정보를 통해 사용자 계정으로 로그인하고 여기서는 다른 사람에게 공개하지 않은 사생활 사진이나 친구 정보를 확인할 수 있다. 뿐만 아니라 이러한 정보를 통해 사용자를 협박하는 것은 물론 사용자를 사칭하며 지인에게 금전을 요구하는 것도 가능하다.

악성 앱을 설치하는 방식은 악성 사이트와 비교해 더 피해가 크다. 피싱 사이트에서는 개인정보 입력을 유도하는 정도에 그친다면, 스마트폰에 설치된 액성 앱은 사용자가 스마트폰을 사용하며 입력하는 수많은 정보를 탈취한다. 이러한 형태의 스미싱은 ‘ㅇㅇㅇ님이 보낸 선물, 수령을 위해 앱을 설치하세요’ 등의 내용으로 악성 앱 설치를 유도하고, 이후 주소록, 주고받은 문자 메시지 내용 등을 해커에게 전송한다.

이렇게 유출된 개인정보는 향후 보이스피싱 등 추가적인 공격에 악용될 수 있다. 예를 들어 사용자가 매달 입금한 계좌를 통해 정기예금 존재를 확인하고, 은행을 사칭해 ‘ㅇㅇ은행 적금에 문제가 생겨서 지금 당장 모든 금액을 인출해야 한다’는 등의 사기를 치는 것도 가능하다.

어떻게 대응해야 할까
이러한 스미싱 사고를 개인 차원에서 예방하기 위해서는 문자 메시지에 포함된 URL은 무조건 주의하는 것이 좋다. 최근 대부분의 스마트폰이 이러한 URL을 클릭할 경우 ‘연결 전 웹 주소가 안전한지 다시 한 번 확인하라’는 경고 메시지를 보내고 있지만, 앞서 언급한 것처럼 실제 지인이나 기관을 사칭해 특정 사용자를 노린 메시지라면 경고를 무시하고 접속할 가능성이 높다. 이 때문에 SMS 악성 URL 탐지 기능이 있는 보안 앱이나 악성 발신자를 판단할 수 있는 후후, T전화 등의 앱을 함께 사용하는 것이 좋다.

▲문자 메시지 속 URL을 누르면 경고 문구가 나타난다[이미지=보안뉴스]


만약 실수로 apk 파일을 내려받았다면 이를 삭제해야 한다. 기본 앱인 ‘파일 관리자’를 열고 상단 검색창에 ‘apk’ 혹은 ‘.apk'라고 입력하면 스마트폰에 저장된 파일 중 설치 파일을 찾아낼 수 있다. 혹은 다운로드(download) 폴더로 진입해 직접 파일을 찾아도 된다. 일반적으로 앱 설치는 구글 플레이나 원스토어 등 공식 앱 마켓에서 이뤄지기 때문에 사용자 스마트폰에 apk 파일이 있다면 비정상적으로 저장된 경우가 많으니 모두 삭제해도 무방하다. 또한, 사용자 입장에서도 향후 공식적인 앱 마켓이 아닌 곳에서 설치한 앱은 사용하지 않는 것이 좋다.

▲실수로 내려받은 apk 파일을 직접 찾아 삭제할 수 있다[이미지=보안뉴스]


이러한 보안사고 예방 노력은 사용자뿐만 아니라 기업에서도 필요하다. 사용자에게 ‘조심’할 것을 강조하는 것은 물론, 기업의 선제적인 노력이 있다면 더 많은 피해를 막을 수 있다. 예를 들어, 주요 기관이나 택배 등 생활과 밀접한 기업의 경우 사용자에게 메시지를 보낼 때 SMS 외에도 주요 메신저 서비스를 함께 이용한다. 이러한 메신저 서비스의 기업용 계정은 서비스 플랫폼으로부터 검증을 받은 만큼 상대적으로 사용자가 신뢰할 수 있기 때문이다.

주변에는 ‘내 개인정보는 이미 공공재’라며 자조적으로 말하고, 개인정보 유출에 무덤덤한 사람도 많다. 하지만 스미싱처럼 간단한 공격으로 유출된 개인정보를 통해 훗날 스피어피싱이나 보이스피싱처럼 자신만을 겨냥해 노리는 정교한 공격으로 돌아올 수 있다. 이에 사용자는 URL을 누르지 않는 등 안전한 스마트폰 사용 습관을 통해 사고를 예방하고, 기업은 사용자가 속지 않도록 다양한 방법으로 안내해야 한다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상