실제 피해 사례로 살펴본 최신 스미싱과 예방법

실제 피해 사례로 살펴본 최신 스미싱과 예방법 일주일 앞으로 다가온 설 연휴. 악성코드 제작자에게 설 연휴는 더 없이 좋은 기회다. 택배 업체를 가장한 스미싱(smishing)이 있기 때문이다. 문제는 스미싱 피해가 기존과는 차이가 있다는 점이다. 모바일 메신저에서 타인을 사칭해 금전을 요구하는가 하면 스마트폰 원격제어를 통해 통제 불가능하게 만든다. 이에 실제 스미싱 피해 사례를 통해 피해 예방법과 피해 발생 시 대처법을 소개한다. 직장인 A 씨는 최근 2건의 스미싱 문자를 받았다. 하나는 도로교통법 적발 문자였고, 다른 하나는 택배 업체를 사칭한 메시지였다. 한 번도 스미싱 피해자가 될 것이라고는 생각지도 못했던 A씨가 스미싱 문자의 피해자가 됐다. [그림 1] 도로교통법 적발을 가장한 스미싱(좌)/ 택배 업체를 사칭한 스미싱(우) [그림 1]의 (좌), (우) 문자는 모두 스미싱이다. (좌)의 문자는 비운전자라면 스팸 문자로 생각하고 그냥 넘어가겠지만 운전자라면 속기 쉽다. A씨는 도로교통법 적발 문자에 대해서는 자신이 비운전자이기 때문에 스팸 문자나 스미싱으로 생각했다. 그러나 문제의 발단은 두 번 째 문자메시지였다. 온라인 쇼핑을 자주하는 A씨였기에 익숙한 번호의 택배 업체의 문자 메시지라고 생각했다. 그러나 A 씨가 문자 메시지의 사실 확인을 위해 URL을 클릭하자 해당 택배 업체가 아닌 다른 택배 업체 사이트로 연결됐다. 당시에는 이상한 점은 인지하지 못한 A씨. A씨가 피해를 인지했을 때는 친구를 만나고 나서다. 친구 B씨는 "같이 있는데 왜 자꾸 메시지를 보내느냐"고 말했고, 모바일 메신저에서 A씨가 지인들에게 돈을 빌려달라고 했다는 사실도 알려 주었다. A씨를 사칭해 돈을 요구한 사람은 B씨 뿐만이 아니었다. SNS(소셜 네트워크 서비스)의 쪽지로도 "돈이 필요하다고 했는데 네가 맞냐"며 캡처한 화면도 A 씨에게 보여 주었다. A씨의 여러 명의 지인들이 금전 요구 메시지를 받았다는 것도 알게 됐다. 이런 수법이 과거 메신저에서 이용된 적이 있어 지인이 피싱을 의심하거나 바로 송금해주겠다고 답변하지 않으면 A씨를 사칭한 이는 온갖 욕설까지 퍼붓기도 했다. 자칫 A 씨의 인간관계에 큰 문제가 생길 뻔했다. 뭔가 이상하다고 생각한 A씨는 택배 문자메시지가 걸렸다. 아차, 스미싱 문자의 URL을 의심 없이 클릭했던 것이 화근이었다. 나중에 문제가 된 문자메시지를 찾아 URL을 클릭했지만 연결되지 않는 페이지로 바뀌었다. [그림 2] A 씨를 사칭해 모바일 메신저로 금전을 요구한 화면 A씨는 지인들에게 자신의 모바일 메신저가 도용 당했음을 알리려고 로그인을 시도했지만 인증 오류 메시지가 뜨면서 로그인이 되지 않았다. 게다가 몇몇 지인은 평소와 다른 A 씨가 수상하다고 여기고 A 씨에게 확인 전화를 시도했지만 통화 불가능이었다. 그러던 중 A 씨는 스팸 전화 알림 메시지를 받고 나서야 휴대전화기의 착신에 문제가 있다는 것을 알았다. A 씨의 스마트폰이 원격 제어되고 있었던 것이다. 공격자는 A씨의 전화 통화를 방해하기 위해 '수신 전화 차단'으로 변경했다. A 씨의 전화 수신을 막기 위해 벨소리도 무음 상태로 해두었던 것이다. 이처럼 공격자가 제어권을 갖게 되면 스마트폰에 저장된 개인정보는 물론 직접 금융 거래까지 가능할 수 있어 심각한 문제를 일으킬 수 있다는 점에서 위험하며 모바일 메신저처럼 타인 사칭도 우려된다. 박시준 ASEC대응팀 선임연구원은 "스마트폰의 경우 개인정보는 물론 이메일, 문자, 주소록의 관계 정보 등 사생활 정보가 그대로 저장돼 있어 마음만 먹으면 직접 확인할 수 있다. 이런 점에서 공격자가 피해자의 스마트폰의 제어권을 갖게 된다면 이런 관계를 파악해 보다 정밀한 사회공학적 기법으로 접근해 공격의 성공률을 높일 수 있다. 또한 피해자에게 직접 확인하는 보편적인 방법인 전화 연결 또한 차단할 수 있다는 점에서 그 성공률은 더욱 높아질 가능성이 충분하다"고 분석했다. 그는 또 "스마트폰을 분실하거나, 제어권을 빼앗긴 것은 단순히 단말기 분실에서 그치는 것이 아니라 그 사람의 가상 세계의 권리까지 잃어버리거나 빼앗기는 결과가 될 수 있어 각별한 주의가 필요하다"고 조언했다. 따라서 스미싱 피해를 예방하려면 발신자와 발신 전화번호가 일치하더라도 출처가 확인되지 않은 URL은 클릭하지 않는 것이 안전하다. 클릭을 해야 한다면 클릭 전에 해당 업체의 전화번호를 확인한 후 발신자에게 전화를 걸어 URL이 안전한지 확인해야 한다. 또 스미싱을 통해 대부분의 악성 앱이 설치되는 만큼 확인되지 않은 앱이 설치되지 않도록 스마트폰의 보안 설정을 강화하는 것도 중요하다. [환경설정] → [보안] → [디바이스 관리] → '알 수 없는 출처'에 체크돼 있다면 해제한다. 만약 스미싱 문자를 클릭했다면 신속한 대처로 추가 피해를 예방하자. 먼저 가입된 이동통신사의 고객센터에 전화하거나 홈페이지를 이용해 소액결제를 차단하거나 결제금액을 제한한다. 또는 이동통신사 고객센터(국번없이 114)에 전화를 걸어 상담원에게 소액결제 차단을 요청해도 된다. 금전 피해가 발생하지 않았다면 스마트폰에 설치된 악성파일을 삭제하고 가입된 이동통신사가 제공하는 예방서비스를 이용한다. 스미싱 차단 앱은 반드시 설치하고 주기적으로 업데이트하자. 그리고 앱은 통신사나 앱스토어 등 공인된 오픈마켓을 통해 설치하며 탈옥은 절대 하지 말고 보안강화나 업데이트 명목으로 금융 정보를 요구하는 경우 절대 입력하지 말아야 한다. 안랩은 최근 안전한 문자에서 택배 관련 스미싱 문자를 탐지해 알려준 바 있다. ======================================================================= 피해 구제 방법 금융기관 콜센터에 전화한다. 경찰서에서 발급받은 '사건사고 사실확인원'을 이동통신사, 게임사, 결제대행사 등 관련 사업자에게 제출한다. 악성파일 삭제 방법 스마트폰 내 '다운로드' 앱 실행 → 문자를 클릭한 시점 이후 확장자명이 apk인 파일이 저장됐는지 확인하고 해당 apk 파일을 삭제한다. 삭제되지 않으면 단말기 서비스센터를 방문하거나 스마트폰을 초기화한다. -출처 : 사이버 경찰청-