침해사고/위협동향

진화 중인 스미싱 수법, 어떻게 막나?

이민형 기자

- 금융정보 탈취 시도하는 악성 앱도 등장, 사용자 경각심 고취 필요

[디지털데일리 이민형기자] 올해 초 극성을 부렸던 스미싱이 한층 지능적인 기법으로 사용자들을 위협하고 있다. 지난 2분기 정부와 이동통신사가 대대적인 캠페인을 펼친 덕에 잠시 소강상태를 보이는 듯 했으나, 현재는 더욱 진화한 모습으로 등장하며 사용자들의 금전을 노리고 있다.

보안업체 전문가들은 사용자 금품을 노리는 스미싱 수법이 더욱 지능화·고도화되고 있다며 최근 잇달아 주의를 당부하고 있다.

단순히 소액결제 문자탈취에 그치지 않고 금융정보, 개인정보 탈취까지 꾀하는 악성 애플리케이션(앱)이 등장했으며 안드로이드 기기관리자 권한 탈취, 주소록에 접근해 스미싱 문자메시지를 재배포하는 형태도 나타났다.

최근 언론의 주목을 받은 ‘돌잔치 초대장’을 가장한 스미싱 수법은 개인정보, 금융정보를 탈취한다.

해당 악성 앱이 설치되면 먼저 국민은행, 우리은행, 농협 등 전자금융서비스 앱의 설치유무를 확인하고, 사진첩(갤러리)에 저장된 사진을 공격자의 서버로 전송한다.

이는 인터넷뱅킹, 스마트폰 뱅킹 사용자들 중 일부가 거래에 사용되는 보안카드를 사진으로 촬영해 저장해둔다는 것에 착안한 수법으로 보인다. 금융회사들이 보안카드 등을 사진으로 저장하지 말라고 강조하는 것이 이러한 이유 때문이다.

이후 해당 악성 앱은 주소록에 저장된 지인들에게 자신이 받은 문자메시지를 다시 재전송한다. 사회공학적 요소를 결합한 감염수법으로 큰 이슈가 된 원인이기도 하다.

스미싱을 통해 기기관리자 권한을 획득하고 악성 행위를 하는 앱도 발견됐다. 이 앱은 소액결제 문자를 탈취하는 일반적인 형태를 띠고 있으나 안드로이드 기기관리자 권한을 획득한다는 점에 차이를 보인다.

기기관리자로 지정된 앱은 안드로이드폰에 저장된 각종 정보에 접근할 수 있는 일종의 관리자의 기능을 수행할 수 있어 개인정보보호에 치명적이다. 이를 삭제하기 위해서는 기기관리자의 권한을 뺏은 뒤 삭제를 시도해야 하나 일반 사용자가 삭제하긴 쉽지 않다.

점점 스미싱의 수법이 진화하고 있으나 본질적인 예방법은 동일하다. 의심스러운 URL은 아예 클릭 하지말고, 공식 마켓에서만 앱을 설치할 수 있도록 설정을 변경해야 한다.

혹여나 URL을 클릭해 악성 앱을 내려받더라도 안드로이드폰 설정에 있는 ‘알 수 없는 출처의 앱 설치’를 해제해 둔다면 위험은 다소 줄어들 수 있다. 그러나 일부 악성 앱은 이 설정을 활성화하도록 유도하므로 주의가 필요하다.

또 모바일 백신이나 스미싱 예방 앱을 활용하는 것도 한 방법이다. 안랩, 이스트소프트, 잉카인터넷, 시만텍 노턴, 어베스트 등 백신업체들은 개인사용자들을 위해 무료로 모바일 백신을 배포하고 있으며 SK텔레콤, 에스이웍스 등은 스미싱 전용대응 앱을 내놨다.

과거 이러한 앱들은 모바일 기기의 성능을 저해한다는 점에서 기피됐지만, 기기의 높아진 성능과 가벼워진 엔진으로 충분한 효과를 볼 수 있다.

무엇보다 사용자들이 모바일 보안에 대한 경각심을 갖는 것이 중요하다고 보안 전문가들은 입을 모았다.

<이민형 기자>kiku@ddaily.co.kr

이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널