[TIP] 지갑보다 소중한 스마트폰, 알아두면 좋은 보안 상식
상태바
[TIP] 지갑보다 소중한 스마트폰, 알아두면 좋은 보안 상식
  • 이광재 기자
  • 승인 2014.03.20 15:06
  • 댓글 0
이 기사를 공유합니다

출처가 불분명한 문자메시지에 포함된 링크 클릭하면 절대 안돼

과도한 금융거래 정보 요구 경우 악성 앱으로 의심해야


한국인터넷진흥원(KISA, 원장 이기주)이 최근 2달간 신고·접수된 스마트폰 악성 앱을 조사한 결과 과거 소액결제 사기를 위한 SMS 탈취에서 공인인증서 유출 및 착신기능 제어를 통한 ARS 인증우회 등 새로운 사기수법으로 진화하고 있다며 스마트폰 이용자들의 주의를 당부했다.

현재 스마트폰 가입자 수는 3782만명으로 전 국민의 3분의2가 스마트폰을 사용하고 있다. 스마트폰은 인터넷 검색에서 금융활동까지 가능한 생활 밀착형 기기로 진화했지만 악성 앱으로 인한 피해도 크게 증가하고 있는 실정이다.

한국인터넷진흥원으로 신고·접수된 스마트폰 악성 앱은 2012년 17건에 머물렀으나 2013년에는 2353건으로 138배 급증했고 올해 2월까지는 596건으로 집계됐다. 최근 카드사 개인정보 대량 유출사고와 맞물려 스마트폰 악성 앱을 통한 정보유출의 우려가 증가하고 있다.

최근 악성 앱들은 소액결제 사기 목적의 스미싱 이외에도 좀비 스마트폰을 만들기 위한 원격제어, 공인인증서 탈취 및 착신기능 제어 등 악성기능이 하나로 결합되고 있다. 이는 해커 조직이 금전적 이득을 위해 소액결제 뿐만 아니라 상대적으로 큰 금액을 탈취할 수 있는 전자금융거래도 함께 공격하는 것으로 분석된다.

특히 100만원 이상의 온라인 이체거래시 본인확인을 위해 도입한 ARS 인증을 우회시킬 수 있는 착신제어 기능이 적용된 악성 앱이 2013년 12월부터 지속적으로 발견되고 있어 악성 앱의 공격 방법도 진화하고 있음을 알 수 있다. 또한 경찰, 법원, 지인을 사칭하던 스미싱 문자내용도 ’카드사 개인정보 유출 확인’과 같은 사회적 이슈를 악용해 이용자의 불안감을 하고 있었다.

정현철 KISA 단장은 “KISA는 진화하는 악성 앱에 대응하기 위해 기존 민원인 신고에 의존하던 악성 앱 수집을 자동화해 악성으로 추정되는 의심스러운 앱을 조기에 수집하고 유포 사이트 및 정보 유출 서버를 신속히 차단할 계획”이라고 밝혔다. 

아울러 “악성 앱을 신속하게 차단하는 것도 필요하지만 무엇보다 이용자 스마트폰이 악성 앱에 감염되지 않도록 스스로 주의하는 것이 중요하다”고 강조했다.

한편 KISA에서는 최근 진화하는 스마트폰 악성 앱 변종으로부터 스마트폰을 안전하게 지킬 수 있는 알아두면 좋은 보안 상식 ▲정식 앱 마켓이 아닌 다른 출처(블랙마켓)의 앱 설치 제한하기 ▲SMS 또는 SNS에 포함된 인터넷 주소 또는 URL 클릭하지 않기 ▲공인인증서는 USIM 등 안전한 저장장소에 보관하기 ▲스마트폰 내 백신 설치 및 실시간 탐지 기능 활성화 ▲스마트폰 운영체제를 항상 최신으로 업데이트(보안패치 등) ▲스마트폰 보안 잠금(비밀번호 또는 화면 패턴) ▲스마트폰 플랫폼의 구조를 임의로 변경하지 않기(탈옥하지 않기) ▲KISA에서 배포하는 폰키퍼를 설치하여 정기적으로 보안점검 하기 등 8가지를 제시했다.

악성 행위별 이용자 피해 유형

스미싱(Smishing) - 해커는 스마트폰 이용자의 정보(주민등록번호, 전화번호 등)를 수집하고 이를 소액결제 서비스에 이용 → 금전적(30만원 이하) 피해 유발
▲ 주요 사칭 유형※ 스팸 문자에 정부, 지인, 통신사 등 대중에게 잘 알려져 있는 기관 또는 사업체를 사칭

다운로더 (Downloader) - 악성 앱 모체에서 원격지에 접속해 추가 악성행위에 필요한 코드를 스마트폰에 다운로드 및 설치 → 2차 피해 유발
▲ ※ 다운로드 되는 악성 앱의 유형에 따라 2차 피해의 형태도 다양해 질 수 있음

원격제어(Remote Control) - 인터넷·SMS를 통해 특정 문자열을 전송함으로써 정해진 악성기능을 수행하도록 설계 → 좀비 스마트폰 생성 및 2차 피해 유발

인증서 유출(NPKI) - 모바일 뱅킹을 타깃으로 제작된 악성 앱이며 스마트폰에 저장된 공인인증서, 보안카드 등의 정보 탈취 → 금전적 피해 유발

착신제어(Call Forward) - 금융사기 피해를 최소화하기 위해 100만원 이상 이체거래시 ARS를 통한 본인 인증 우회방법으로 이용 → 금전적 피해 유발
▲ ※ ARS 인증이 본 사용자에게 전달되는 것을 해커의 전화로 착신되도록 설정

스마트폰 보안상식

구글 앱 마켓이 아닌 다른 출처(알 수 없는 출처)의 앱 설치 제한하기 = ▲대부분의 악성 앱은 구글 플레이와 같은 정식 앱 마켓이 아닌 웹 사이트, SNS 등을 통해 유포 ▲이러한 앱을 설치하기 위해서는 ‘출처를 알 수 없는 앱 설치’ 옵션 선택 필요 ▲하지만 출처를 알 수 없는 앱 설치 옵션이 항상 허용돼 있는 경우 스마트폰 이용자는 악성 앱에 감염될 빌미를 제공

단문 문자(또는 SNS) 메시지에 포함된 URL 클릭하지 않기 = 악성 앱 유포수단 중 하나인 스팸문자에는 단축 URL이 포함돼 있으며 클릭하는 경우 악성 앱이 사용자 단말에 설치될 수 있음

공인인증서는 USIM 등 안전한 저장장소에 보관하기 = 모바일 뱅킹 이용자들은 공인인증서와 보안카드를 스마트폰에 저장하는 경향이 있으며 이는 해커들의 주요 표적이 될 수 있음

스마트폰 내 백신 설치 및 실시간 탐지 기능 활성화 = 모바일 백신을 통해 스마트폰 이용자 모르게 설치되는 악성 앱을 설치전 탐지 및 차단

스마트폰 운영체제를 항상 최신으로 업데이트(보안패치 등) = 스마트폰에 플랫폼에 내재돼 있는 취약점으로 인한 피해발생을 방지하기 위해 운영체제를 최신으로 업데이트

스마트폰 보안 잠금(비밀번호 또는 화면 패턴) = 스마트폰 분실 등으로 인해 중요한 개인정보가 노출되지 않도록 패턴 및 비밀번호를 설정해 정보유출 기회를 최소화

루팅, 탈옥 등 스마트폰 구조를 임의로 변경하지 않기 = 루팅(Rooting), 탈옥(JailBreak) 등은 완제품 형태의 스마트폰을 임의로 변경함으로써 악성 앱 및 외부 공격에 쉽게 노출될 수 있음

KISA에서 배포하는 폰키퍼를 설치해 정기적으로 보안점검 하기 = KISA에서 무료로 제공하는 ‘폰키퍼’를 이용해 정기적으로 스마트폰 보안점검을 수행함으로써 단말 보안성 향상



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.