"야. 우리 아버지도 당했어..."
"내 친구도 당했어..."
눈 감으면 코 베어가는 세상, 스미싱 때문에 정신을 바짝 차리고 스마트폰을 사용해야 하는 시대입니다.
최근에는 카드사 정보유출이라는 큰 사건과 함께 민족 대명절인 설 연휴전후로 더욱 영악해진 스미싱이 기승을 부리고 있습니다.
막상 스마트폰을 잘 활용하시는 분들도 단지 '의심되는 문자의 링크를 클릭하지 않으면 돼'라고 알고 계신분들이 많지만 보이스피싱이 그러했듯 스미싱문자도 점점 진짜(?)같은 문자들이 오는 경우가 많습니다.
백화점 할인 문자를 가장한 스미싱, 영업시간 정보까지 상세히 안내
'스미싱'이란?
우리가 보통 어렴풋이 알고 있는 '스미싱'이 무엇인지 먼저 정확하게 알아보도록 하겠습니다.
스미싱(Smishing)이란 문자메시지(SMS)와 피싱(Phishing)의 합성어로, 사용자가 의도하지 않은 특정페이지 접속 및 악성앱을 통해 스마트폰을 감염시키고, 그에 따라 사용자 정보탈취 및 소액결제, 기타 추가로 발생할 수 있는 악성행위를 총칭합니다.
스미싱 문자의 링크를 클릭하게 되면 대부분 안드로이드 앱 설치파일인 apk파일로 연결이 되어 앱이 설치가 됩니다. 최근에는 사용자도 모르는 사이에 설치가 되어 업데이트를 유도하면서 악성코드가 피해자의 스마트폰 기기안에 침투를 하게 됩니다. 그렇게 되면 피해자의 스마트폰은 해커의 손바닥위라고 할 수 있습니다. 그 안에서 소액결제를 유도하거나 개인정보를 빼내어 금융피해등을 입게 됩니다. 스미싱이 발생하는 상황을 단계별로 그림과 함께 알아봅시다!
1. 스미싱 문자가 내 스마트폰으로 수신됩니다.
2. 링크 클릭시 브라우저에서 악성APK를 다운로드 시도합니다.
3. 악성APK를 다운로드 완료했다는 알림이 뜹니다.
4. 알림을 클릭하면 악성앱 설치 전 경고 메시지가 뜹니다.
5. 앱 설치 시 해당 앱이 어떠한 권한을 갖게 되는지 보여줍니다.
6. 악성앱이 설치된 후 아이콘이 스마트폰 바탕화면에 보여집니다.
7. 설치 완료 후 악성앱이 기기관리자 권한 획득을 시도합니다.
기기관리자 권한을 획득한 앱은 사용자가 수동으로 삭제하기 어렵습니다.
구체적인 '스미싱'을 통해 피해를 보는 상황
1. 스미싱 악성앱의 발동시기에 따라
스미싱을 통해 스마트폰에 설치된 악성앱은 발동시기에 따라 두 가지 형태로 나뉩니다.
인간의 질병과 비슷한데요, 대부분 클릭시 바로 발동되는 형태이고 최근에는 일정기간의 잠복기간을 두었다 추후에 발동되는 형태도 있습니다. 바로 발동되는 형태는 의심상황이 발생할 시 사용자가 바로 인과관계를 깨닫고 피해를 막을 수 있는 여지가 있지만 최근에 발견되고 있는 잠복기간을 두고 추후에 발동되는 형태는 위험성이 더 큽니다.
잠복기간을 두고 발동되는 스미싱 악성앱의 경우, 사용자가 링크를 클릭하여 악성앱을 실행하였을 때에는 아무런 변화가 없어 안심하고 그냥 넘어가버리게 되지만 일정 시간이 지난 후 '앱을 업데이트해주세요!'등의 메시지로 유인해 본격적인 설치와 활동을 시작하는 형태입니다.
2. 스미싱 악성앱의 작동유형에 따라
스미싱을 통해 설치된 악성앱이 작동하는 방법에는 수많은 유형이 존재하지만 주로 금융관련 앱을 위조하여 진짜 앱과 바꿔치기하는 유형, 스마트폰 내부의 연락처, SMS, 사진 등의 자료를 탈취하는 유형 등으로 나눌 수 있습니다.
전자, 즉 스미싱 악성코드를 통해 위조 앱을 진짜 앱인양 바꿔치기하는 유형의 경우 앞서 말씀드린대로 대부분 금융관련 앱, 즉 모바일뱅킹 앱을 위조하여 추후 위조앱으로 뱅킹업무를 진행하게 하여 사용자가 입력하는 금융결제 관련 정보등을 가로채게 합니다. 대부분의 위조앱의 경우, 사용자가 진짜 모바일 뱅킹앱으로 착각하여 해당 앱을 실행시키고 입력하는 금융결제 관련 정보(스마트폰에 저장된 공인인증서 포함)를 해커에게 전달하는 역할을 수행하며, 추가적으로 해커가 원하는 추가 악성앱을 다운로드하거나 추가적인 악성행위를 수행하는 위조앱도 존재합니다.
후자, 즉 스마트폰 내부자료를 이용할 경우에는 여러 수법을 통한 범죄행위가 펼쳐집니다. 스미싱 악성코드를 이용해 해커가 사적인 사진이나 메시지를 가로챌 수도 있겠지만, 주로 보안카드 전체를 찍어둔 사진을 가로채어 계좌 내 현금을 빼간다거나 SMS를 중간에서 가로챌 수 있게 되어 휴대폰 소액결제 인증번호를 해커가 습득, 사용자의 전화로 요금을 결제시킨다거나 주소록에 있는 전화번호로 스미싱 메시지를 전송토록 하여 스미싱 악성코드를 더욱 유포시키는 일을 하게 만듭니다.
진화하는 '스미싱'
'스미싱'과 스마트폰 악성코드는 스마트폰이 등장하면서 시작되었다고 해도 과언이 아닙니다.
이미 2000년대 초중반에 초기 스마트폰의 주류를 이루었던 심비안OS에서부터 시작되었는데요. 사용자의 정보를 수집하거나 주소록에 저장된 번호로 악성코드를 유포하는 등 현재의 스미싱 및 악성코드 형태와 매우 비슷한 형태였다고 합니다.
초기 스미싱은 주로 패스트푸드점이나 편의점 등의 '공짜 쿠폰'을 포함한 스미싱 문자가 주를 이루었습니다만 스미싱 피해가 늘어남에 따라' 사람들에게는 '무료'가 강조된 쿠폰문자는 의심을 하기 시작했고 스미싱 성공률(?)이 떨어집니다. 그 후로 다양한 스미싱문자들이 등장을 합니다.
공짜쿠폰 스미싱 클릭 시 연결되는 페이지 화면 캡처
최근의 스미싱 유형은 사회적 이슈나 트렌드를 반영하여(?) 진화하고 있습니다. 당연히 피해자들이 걸려들기 쉽게 만들기 위해서 그 수법이 다양해지고 있지요. 누적 다운로드 수 천만을 돌파한 있는 알약 안드로이드를 통해 2013년 12월 21일부터 2014년 1월 20일까지 접수된 스미싱의 유형을 보면 설명절과 관련한 이슈나 카드사개인정보유출등 사회적 이슈에 편승하여 피해자의 클릭을 유도하고 있습니다.
알약 안드로이드 2014년 1월 이슈별 스미싱 신고 내역
스미싱 피해시 '대응방법'
'스미싱'을 통한 소액결제 피해 등을 입었을 경우에는 해당 스마트폰, 청구서 내에 소액결제 내역 등의 증빙자료 등을 가지고 경찰서에 방문하여 '사건사고 사실확인원'을 발급받습니다. 이 서류를 자신이 가입한 이동통신사에 제출하여 피해 사실을 접수하면, 통신사가 소액결제사에 이 사실을 전달하여 결제내역을 취소할 수 있도록 도와줍니다.
자세한 내용은 각자의 이동통신사에 문의하시면 정확한 안내를 받으실 수 있습니다.
소액결제를 잘 이용하지 않으시는 분들은 해당 결제방법을 허용하지 않도록 하거나 허용한도를 낮추어두는 것도 현명합니다. 계좌이체 등을 이용해 해커가 현금을 빼갔을 경우에는, 대체로 해커들이 대포통장을 통해 돈을 챙기므로 사실상 돌려받기가 힘든 것이 사실입니다.
역시, 상책은 스미싱으로 인한 피해를 입지 않도록 미리미리 대비를 잘 하는 것이겠죠.
출처가 의심되는 문자 클릭 주의
스미싱 피해 '예방방법'
1. 문자나 카톡으로 오는 '링크'는 확인이 필요! 꼭 주의하세요.
'출처가 의심되는' 이건 뭐건간에 그냥 링크는 무조건 클릭하지 마세요.
여러분들 친구가 무려 '링크'주소를 복사해서 여러분에게 '링크'를 메시지로 보낸다는건 생각보다 매우 귀찮은 일이긴 합니다.
물론, 요즘들어 모바일과 연계한 기업의 이벤트 프로모션이 있기 때문에 이벤트 참여를 유도하는 링크가 올 수도 있지만 클릭하기 전에 반드시 주의하시고, 꼭 확인하세요. ...어차피 클릭해서 이벤트 참가해봤자 뽑히지 않습니다. 뽑힐 사람들만 뽑힙니다.
친구들이 모바일 청첩장을 보낼 수 있습니다. 클릭하지 마세요. 결혼식... 안가면 됩니다.
나중에 뭐라고 하면 그런 경조사를 문자로 보내고 끝내려고 하냐... 전화는 뒀다 뭐하냐... 스미싱이 의심되서 못눌렀으니 축의금은 계좌로 쏴줄게. 계좌번호좀 불러줘. 라고 하시면 됩니다.
2. 보안카드번호 같은 개인정보 관련된것은 스마트폰으로 찍어두지 마세요.
혹시라도 스미싱에 스마트폰이 털리게 되면, 본인의 사생활이나 이런거 전부다 공개됩니다.
물론 중요한건 인터넷뱅킹 보안번호같은 정보입니다. 대부분의 사람들이 지갑등에 휴대하기 불편하니 보안번호를 스마트폰으로 찍어놓고 사용하는데요. 매우매우 위험한 일입니다.
3. 알 수 없는 출처의 앱의 설치는 허용하지 마세요.
스미싱으로 전파되는 악성앱은 99.9% 안드로이드 공식마켓(Play Store외 구글에서 인증한 안드로이드앱 마켓)에 업로드된 앱이 아닙니다. 따라서 알 수 없는 출처의 앱 설치 허용이 체크되어 있다면 체크를 해제해야 합니다. 아이폰이 안드로이드폰보다 상대적으로 안전하다고 언급되는 이유 중 하나도 OS구조변경을 하지 않았다는 가정 하에 어떠한 앱도 애플의 Appstore를 통하지 않으면 다운로드가 되지 않기 때문입니다. 알 수 없는 출처의 앱 설치 비허용 설정을 통해, 임의의 앱이 여러분 모르게 스마트폰에 설치되는 것을 반드시 차단할 것을 강력하게 권장드립니다.
스마트폰 제조사마다 환경설정은 다를 수 있습니다
4. 모바일 백신 또는 스미싱 방지 앱 설치는 기본!
백신이 PC만을 보호하는 시대는 지났습니다. 모바일 백신을 설치하면 스마트폰 배터리가 금방 닳는다는 확인되지 않은 사실이 항간에 많이 떠돌고 있는데요. 실제로 일반 앱과 비교했을 때, 실시간 감시를 켜 놓은 모바일 백신이라고 할지라도 일반 앱 수준으로 전력을 소모합니다. 그러니 걱정하지 마세요!
최근에는 모바일 백신 외에도, 스미싱 차단만을 전문으로 하는 앱이 많이 출시되고 있습니다. 그 중 하나를 선택하여 꼭 설치해 주세요. 특히 스미싱을 무심코 누르실지도 모를 부모님 스마트폰에도 꼭! 설치하세요.
소 잃고 외양간 고친다는 말은 디지털이 발달한 지금 이 순간에도 유효한 속담인 것 같습니다. 스미싱이 어떠한 것인지 바르게 알고 있다면 쉽게 낚이지 않겠죠! 관련 내용 중 특히 '대응방법'과 '예방방법'에 대한 사용자 여러분들의 강도 높은 주의와 숙지를 부탁 드립니다.
OpenSSL 취약점 하트블리드(HeartBleed), 왜 위험한가? (21) | 2014.04.17 |
---|---|
마이크로소프트의 윈도우XP 지원종료! 4월 8일, 내 PC는 어떻게 되는가? (1) | 2014.04.04 |
바이러스와 악성코드의 차이점 (0) | 2014.03.27 |
트로이목마, 그것은 악성코드의 꽃! (26) | 2014.03.21 |
웹페이지 취약점 점검 툴 파로스(Paros) (0) | 2014.03.07 |
댓글 영역