[우리문화신문=김영조 기자] 슬기말틀(스마트폰)은 일상생활에서 필수적인 도구로 자리 잡았다. 이에 따라, 손말틀(모바일) 악성 범죄가 지속해서 늘어나고 있다. 이 가운데서도 스미싱(Smishing)은 문자 메시지를 이용해 피싱 페이지나 악성 앱 다운로드 누리주소(URL)를 유포하며, 개인정보 탈취, 인증 남용, 성범죄[Sextortion[ 등 다양한 범죄의 주요 수단으로 떠오르고 있다. 이번 글에서는 안랩 모바일 분석팀이 조사한 사회공학적 스미싱 유형을 살펴보고, 스미싱 피해를 예방하는 방법을 구체적으로 살펴본다.
올 한 해 수집된 스미싱 메시지의 주요 사례는 [표 1]과 같다. 공격자는 악성 앱을 통한 계정 탈취, 피해자 점검, 스미싱 메시지 재유포 등 다양한 기술적 범죄를 시도한다.
악성 앱으로는 피싱 누리집을 이용할 수 있는 기능과 알림 기능만 올린 웹 앱과 실제 악성 행위를 수행하는 악성 앱이 있으며, 악성 행위를 하는 대표적인 앱으로는 SMS 문자를 훔치거나 몸캠 피싱(신체 노출 이미지와 영상을 찍은 뒤 악성 앱 등의 설치를 유도해 슬기전화에 저장된 연락처 등 피해자 지인들에게 유포 협박을 가하며 금전을 갈취하는 범죄)을 통해 금전을 요구하는 인포스틸러(Infostealer)가 있다.
1. 공공기관 서비스 사칭
스미싱 가운데서도 보편적으로 알려진 공공기관이나 정부로 속인 사례가 가장 많다. 특히 건강보험공단이나 정부 사칭 메시지는 악성 앱 설치를 유도하는 경우가 많다. 우체국 사칭의 경우, 미배송 또는 해외 배송을 가장한 가짜 우체국 페이지를 통해 개인정보를 탈취한다.
2. 소셜미디어(SNS) 승강장(플랫폼) 사칭
‘SNS 계정 정지’ 경고와 같이 플랫폼 관련 사칭 메시지를 통해 피해자 계정을 탈취하는 사례도 있다. 텔레그램(Telegram)이 가장 대표적인 승강장으로, 공격자는 재로그인 요청, 정책 위반 등의 명목으로 스미싱 메시지를 전송한다. 사용자가 입력한 인증 코드가 명령과 제어(C2)서버로 전송되면, 공격자는 해당 텔레그램 계정으로 자동 접속해 로그인 기기 연동을 해지하고, 사용자의 텔레그램 사용을 차단한다.
3. 투자 관련 사칭
코인이나 주식 투자를 명목으로 클릭을 유도하는 스미싱은 주로 젊은 층을 대상으로 한다. 이런 투자 사기에는 관련 기업의 고객센터 직원이나 참여자 사칭(일명 바람잡이) 등의 인력이 투입되며, SNS와 기업용 상담 승강장 등을 적극적으로 활용한다.
최근에는 메시지만 퍼뜨려도 피해자가 경계심을 가지게 되므로, 전략을 변경하여 [그림 5]과 같이 실수를 통한 우연한 만남이나 SNS에서 공격자가 유포한 게시글에 “좋아요” 등을 계기로 메신저 앱을 통해 친분을 쌓는다.
이후 공격자는 “우리 둘만 알고 있는 정보”라며 주식이나 코인 차트 조작 사이트의 웹 앱 설치 또는 사기 투자방에 사용자를 초대하고, 기대감이 높은 종목이라 소개하며 금전 이체를 유도한다.
4. 경조사 사칭
[그림 1]과 같이 경조사를 사칭한 스미싱도 악성 앱을 설치하는 수단으로 대거 유포되고 있다. 이 유형은 보안에 상대적으로 덜 민감한 중노년층을 표적으로 삼으며, 악성 앱 설치를 목적으로 한다. 메시지 내용에는 구체적인 지인 또는 가족의 이름이 포함될 수 있으며, 자극적인 내용을 포함해 즉각적인 누름(클릭)을 유도한다.
5. 성적 만남 사칭
이 밖에, 메시지나 SNS를 통해 성적 만남을 제안하는 수법도 널리 사용되고 있다. 이들은 피해자와 메신저 앱을 통해 음란한 대화를 주고받는 과정에서 악성 앱 설치를 유도한다.
<스미싱 예방 대책>
스미싱 위협을 예방하는 방법을 정리하면 다음과 같다.
1) 승강장(플랫폼) 계정 일회용비밀번호생성기(OTP)와 다중인증(MFA) 활성화: SMS사기는 SMS 인증을 통한 계정 가입과 탈취가 목표이다. 따라서 SMS를 뺀 다른 인증을 추가하거나, OTP 앱을 통해서 인증하는 것이 안전하다.
2) 대중적인 브랜드 앱 사용: 주식과 코인 관련 스미싱에서 설치되는 웹 앱은 유명 거래소 브랜드를 사칭할 경우 사용자가 설치했거나 사용한 경험으로 인해 조잡한 기능이 드러날 수 있어 가짜 거래소 상표를 사용한다. 이러한 웹 앱의 연동된 누리집은 공격자가 차트를 조작하기 때문에 모르는 익명의 사람이 알려지지 않은 브랜드 거래소를 권유할 때 설치해서는 안 된다.
3) 공식 앱 마켓을 통한 앱 설치: 파일 내려받기 형식의 설치는 악성 앱일 가능성이 매우 높다. 따라서 불분명한 누리주소(URL)를 통해 앱을 설치하는 것은 되도록 지양해야 한다. 앱 마켓과 유사한 환경의 웹 페이지도 공식 마켓 앱에서 검색한뒤 내려받기 해야 한다.
4) 메시지를 통한 누리주소(URL) 접속 금지: 메시지로 전송된 누리주소는 누르지 않고, 공공기관 메시지의 경우 반드시 공식 기관 누리집이나 공식 앱 마켓에서 설치한 앱을 통해 관련 서비스의 상세 내용을 확인해야 한다.
5) 백신 앱 설치와 최신 버전 업데이트: 스미싱 관련 악성 앱들의 경우 백신 앱 탐지를 회피하기 위해 지속해서 변조되거나 새로운 솔루션을 적용하고 있다. 이에 대응해 국내 백신 회사들은 해당 악성 앱들을 우선해서 수집하거나 진단할 수 있는 환경이 구축돼 있다. 따라서 AhnLab V3와 같은 국내 백신 앱을 설치하고, 이를 최신 버전으로 업데이트할 것을 권고한다.
결론
현재도 스미싱 기반 모바일 보안 위협은 지속해서 다양화되고 있으며, 주요 특징으로는 신뢰성을 가장한 공공기관 사칭, 긴급한 상황과 성적 문구를 활용한 접근 방식이 있다. 이러한 메시지는 사용자의 경계심을 낮추고 신속한 대응을 요구하는 상황을 만들어 사용자가 의심 없이 피싱 페이지에 접속하고 악성 앱을 설치하도록 한다.
사용자들은 이 같은 스미싱 사례를 인지하고, 출처가 불분명한 메시지나 링크를 누르지 않아야 한다. 출처가 불분명한 메시지나 링크를 누르지 않아야 하며, 누리집 주소를 통한 불확실한 앱은 설치하지 않은 것이 좋다. 또한, 앱을 내려받을 때 반드시 구글 플레이 스토어나 갤럭시 스토어와 같은 공식 시장(마켓)을 사용해야 한다. 공식 시장에서도 신뢰할 수 있는 브랜드 앱 사용을 권장하며, 브랜드 앱이 아닐 때 내려받은 수와 사용기를 확인해 앱의 신뢰성을 검증할 필요가 있다.
이 밖에, 지하(다크)웹을 통해 유통되는 새로운 보호 솔루션을 활용해 단말기 내 기본 보안 서비스나 백신 앱 탐지를 회피하려는 시도가 증가하고 있다. 이에 대응하기 위해 국내 백신 회사는 지속적해서 점검과 개선된 진단 방법을 적용하고 있다. 따라서 사용자들은 백신 앱 설치와 최신 버전 업데이트가 필수다.
AhnLab 콘텐츠기획팀 제공
