한국인터넷진흥원(KISA)이 스마트폰 문자메시지를 악용한 사이버사기 수법인 스미싱으로 인한 국민들의 피해를 예방하고자 최신 스미싱 유형, 예방 및 피해 발생시 대응방법 등을 설명한 ‘스미싱 예방 및 대응 가이드’를 발표했다.
이번에 발표한 ‘스미싱 예방 및 대응 가이드’에 따르면 평소 스마트폰을 안전하게 관리하기 위해서는 ▲스마트폰 권한 임의변경 금지 ▲알 수 없는 출처(미인증) 앱 설치 기능 해제 ▲스미싱 차단앱 설치 ▲모바일 백신 설치 ▲안드로이드 운영체제 최신 업데이트 ▲보호되지 않는 무선 공유기(WiFi) 사용 금지 등 보안수칙을 지켜야 한다.
특히 최근 증가하고 있는 스미싱 피해를 예방하기 위해서는 ▲공식 앱마켓 이용하기 ▲앱 설치시 요구권한 적절 여부 확인하기 ▲휴대폰 관리자 권한 활성화 금지 ▲모바일 백신 설치 및 점검 등 스마트폰 앱 설치 시에도 보안에 주의해야 한다.
또한 스미싱에 대해 잘 모르는 일반인들도 간단한 서비스 가입만으로 스미싱을 예방할 수 있도록 웹 발신 확인 서비스, 번호도용 문자차단 서비스, 소액결제 차단 서비스 등 이동통신사가 무료로 제공하고 있는 서비스도 소개했다.
가이드에는 악성앱 유형별·휴대전화 제조사별 삭제 방법도 제시했다. 대부분의 악성앱은 모바일 백신이나 스마트폰 환경설정에서 앱 목록을 확인해 삭제가 가능하지만 관리자 권한 해제를 방해하는 악성앱은 안전모드로만 부팅해야 삭제가 가능하므로 평소 삭제방법을 숙지해야 한다고 강조했다.
스미싱 피해 발생시 신속하게 대응하도록 행동절차도 가이드에 담겨 있다. 만약 모바일 결제 피해가 발생했다면 이동통신사 고객센터에서 스미싱 피해 신고 및 ‘소액결제확인서’를 발급 받아 경찰청 사이버수사대 또는 민원실(112)에 신고해 ‘사건사고 사실 확인서’를 발급 받아야 한다. 결제 금액 환급은 통신사나 결제대행 업체에 요청하면 된다.
본지는 한국인터넷진흥원이 발표한 ‘스미싱 예방 및 대응 가이드’를 요약해 살펴본다.
스미싱이란 = 스미싱(smishing)은 문자메시지(SMS)와 피싱(Phising)의 합성어로 사이버사기 중에 하나다. 문자메시지에 포함된 인터넷주소(URL)를 클릭하면 악성앱이 설치되고 개인정보, 금융정보 등을 탈취해 금전적인 피해를 일으키거나 2차 공격 도구로 활용될 수 있다.
스미싱 유포 과정을 보면 해커는 불특정 다수에게 악성코드를 설치할 수 있는 인터넷주소가 포함된 문자메시지를 발송한다. 문자를 수신한 사용자가 인터넷주소를 클릭하면 악의적으로 만들어진 피싱 사이트로 접속되거나 악성앱을 설치하는 설치파일이 다운로드된다.
스미싱 특성 = 스미싱은 문자메시지(SMS)에 포함돼 있는 인터넷주소(URL)를 단순히 클릭하는 것만으로 악성코드에 감염되지 않는다. 인터넷주소를 클릭해 다운로드된 APK(안드로이드 응용 프로그램 패키지의 확장자로 안드로이드 애플리케이션 설치 파일) 파일을 설치하는 경우에만 악성앱이 설치된다.
스미싱은 악성코드에 감염된 스마트폰을 이용한 사이버사기 수법으로 악성앱을 설치하기 위한 인터넷주소가 문자메시지에 포함돼 있다. 이러한 인터넷주소는 단
축 서비스를 사용해 이용자가 웹사이트 정보를 알기 어렵고 정상적인 사이트와 매우 유사하게 모방해 제작된 가짜사이트인 피싱사이트로 연결된다. 최근에는 정상적인 사이트와 유사한 일반적인 인터넷주소를 사용하는 경우도 있으므로 주의해야 한다.
스미싱은 사용자들이 악성앱 여부를 인지하기 어렵도록 정상앱을 사칭하는 경우가 많다. 휴대전화에 일반적으로 많이 설치된 정상앱(예: 크롬, 플레이스토어, 공공기관에서 사용하는 민원24, 유명 모바일 백신 등)을 사칭해 악성앱 설치를 유도한다.
이러한 악성앱은 정상앱이 필요로 하지 않는 과도한 권한을 요구하고 있다. 전화, 문자메시지 관리, 개인정보 조회, 저장소 조회, 위치정보, 기기관리자 권한 요구 등 정상앱 보다 과도한 권한을 포함하고 있으므로 앱 설치 단계에서 주의해야 한다.
또한 악성앱이 악성코드 감염, 개인정보 유출 등 악성행위를 직접 수행하기도 하지만 별도의 악성앱을 설치하도록 유도하는 기능이 탑재된 경우도 있다.
크롬, 뱅킹, 백신 등 특정 애플리케이션이 실행될 경우 ‘업데이트 파일입니다’라는 형태로 업데이트를 안내해 이용자들이 악성앱을 다운로드하도록 유도하고 있다. 이렇게 설치된 악성앱은 중요 정보를 유출하는 등의 악성 행위를 한다.
사용자가 악성앱을 설치하도록 유도하기 위해 관심을 유도하는 다양한 형태의 문자메시지가 발생되고 있다. 대표적인 유형으로는 청첩장, 돌잔치 초대장 등 ‘지인 사칭’, 배송지연, 수령확인 등 ‘택배 사칭’, 검찰청, 경찰청 등 ‘공공기관 사칭’, 명절, 국가적 행사나 각종 사건사고와 같은 ‘사회적 이슈 사칭’하는 내용이 포함되고 있다.
스미싱 시나리오 = 스마트폰을 악성코드에 감염시키기 위해 악성앱을 설치하는 방법과 설치된 악성앱이 수행하는 기능에 따라 스미싱의 유포 방식에는 차이가 존재한다.
우선 일반적인 스미싱은 해커가 목적에 맞게 악성앱을 제작하고 사용자가 악성앱을 다운로드 받을 수 있도록 클라우드 서비스(드롭박스, 아마존)에 업로드한다. 해커가 운영하는 자체 서버를 통해 악성앱을 유포하기도 한다.
사용자가 문자메시지에 포함된 인터넷주소를 클릭하면 앱을 설치할 수 있는 설치파일인 ‘APK 파일’이 자동으로 다운로드된다. 다운로드된 APK 파일을 사용자가 클릭할 경우 악성앱이 설치된다.
설치가 끝난 악성앱을 실행하면 개인정보, 금융정보 등 중요정보가 해커가 지정한 서버로 전송된다. 이때 해커가 결제승인번호 등 문자메시지를 탈취하게 된다면 소액결제를 이용자 몰래 시도할 수 있다.
또한 피싱 사이트를 이용한 스미싱은 인터넷주소를 클릭하게 되면 정상 사이트를 가장한 피싱사이트로 연결되고 이들 가짜 사이트에서는 정상앱을 설치하는 것처럼 악성앱 설치를 유도한다.
이와 함께 사용자 입력 요구 스미싱은 사용자 정보, 캡챠코드(사용자가 실제 사람인지 컴퓨터 프로그램인지를 구별하기 위해 사용하는 방법으로 컴퓨터가 쉽게 인지하지 못하게 의도적으로 숫자나 문자를 비틀거나 덧칠하면서 해당 내용을 물어보는 방법) 등 사용자가 입력한 특정정보가 일치하는 경우에만 악성앱이 다운로드 되도록 하는 가장 진화된 방식의 스미싱이다.
사용자 접근 환경(PC, 모바일)을 구별할 뿐 아니라 타인의 전화번호를 입력할 경우에는 악성앱이 다운로드 되지 않는다. 피싱사이트에 포함된 이미지를 클릭만 해도 악성앱이 다운로드 되는 경우도 있으므로 주의가 필요하다.
스미싱 사전 예방 방법
