당신도 모르는 사이에 일은 벌어진다 스마트 범죄, 미리 알고 예방하자

우리 생활의 필수품이 되어버린 스마트폰과 태블릿. 스마트 기기와 사용자의 삶이 밀접하게 연관될수록 개인정보 유출은 물론 다양한 보안위험은 더욱 높아진다는 사실을 다들 알고 있을 것이다. 그렇다면 미리 대책을 세워 예방해야 하지 않겠는가. 안전한 스마트 라이프를 즐기기 위한 방법을 알아보자.
조성호 기자

스미싱, 누구도 믿지 못하게 하는 사회악

회사원 김현우(30·가명)씨는 평소 여자 친구에게 줄 선물을 사기 위해 인터넷 쇼핑몰에서 자주 물건을 구입한다. 전과 똑같이 인터넷 쇼핑몰에서 쇼핑을 한 김 씨는 다음 날 쇼핑몰로부터 문자를 한 통 받았다. ‘14:01 결제금액: 66000원 결제’. 김 씨는 어제 구매하고 결제까지 했는데 이건 무슨 일인가 싶어 무심결에 링크 주소를 눌렀다. 그리고 한 달 후, 평소보다 많이 나온 요금을 보고 명세서를 확인한 그는 그제야 이유를 알았다. 한 게임사 사이버머니를 사는데 자신의 휴대전화 소액 결제가 사용된 것. 이미 자신의 이름과 휴대전화 번호를 정확히 알고 있는 공격자들이 또 어떤 개인정보를 빼내 갔는지 알 수가 없어서 불안하기만 하다.

주부 황모씨(52)는 며칠 전, 20만원이 결제됐다는 문자 메시지를 받고 놀란 마음에 황급히 전화를 걸어 무슨 일이냐고 물었다. 황씨는 20만원을 카드로 사용한 적도 없고 인터넷 쇼핑은 단 한 번 도 해본 적이 없었기 때문에, 자신도 모르게 20만원이 결제됐다고 하니 당황스러울 수밖에 없었다. 전화를 받은 상담원은 친절하게 자신이 시키는 대로 따라하면 된다고 했고, 황씨는 그대로 따라할 수 밖에 없었다. 상담원은 결제금액을 취소하기 위해서 인증서를 보냈으니 그 번호를 알려달라고 요구했다. 황씨가 승인번호를 알려주자 상담원은 웃으면서 정상적으로 취소됐다고 말하고 전화를 끊었다. 한 숨 돌린 황씨는 마침 학교에서 돌아 온 아들에게 방금 있었던 일을 얘기했지만, 아들이 들려주는 얘기에 그만 주저앉고 말았다.

사용자들을 현혹하는 스미싱 문구. 유명 패스트푸드점 쿠폰부터, 청첩장, 결제 오류, 심지어 가수 ‘싸이’를 응원하자는 문구로 사용자들을 혼란스럽게 만든다.

이처럼 사람들 심리를 이용하는 신종 휴대전화 소액결제 사기가 급증하고 있다. 바로 스미싱(Smshing)이다. 유명한 베이커리나 패스트푸드점, 영화관 등의 공짜쿠폰이나 할인권을 준다는 내용과 쓰지도 않은 금액이 결제됐다며 확인해보라는 문자, 호기심을 유발하는 자극적인 문자 등 여러 가지 방법으로 사람들을 현혹해 첨부된 링크를 확인하게 만들어 소액결제이용료를 가로챈다. 특히 더욱 심각한 것은 기존의 랜덤 형식으로 마구잡이로 사용자에게 악성코드를 유포하는 방식이 아니라, SMS를 전달받는 이용자의 실제 정보를 활용해 개개인을 타깃으로 하는 공격 방식이 증가하고 있다는 것이다. 실제 결혼을 앞둔 예비부부들이 모바일로 청첩장을 돌리는 경우를 주변에서 흔히 볼 수 있데, 공격자들이 이러한 점을 착안해 개개인을 타깃으로 하는 스미싱 공격을 진행하고 있다. 이렇게 무심코 당한 피해자들은 소액결제가 됐다는 사실을 까맣게 모르고있다가, 한 달 뒤 스마트폰 명세서에 적힌 소액결제 내역을 보고 나서야 사기 당했다는 것을 깨닫는다. 많은 스마트폰 사용자가 내역서를 꼼꼼히 살펴보지 않기 때문에 추가 피해는 이어진다. 스미싱은 문자메시지로 악성프로그램 설치를 유도하고 피해를 입힌다는 뜻으로 문자메시지(SMS)와피싱(Phishing)을 합성한 단어이다. 스마트폰 이용자가 급증하면서 신종사기 수법으로 악명을 떨치고 있다. 특히 최근에는 내용이 다양하고 쉽게 믿을 수 있도록 수법이 지능화되고 있다. 특히 보이스피싱과 결합한 형태의 복잡한 공격으로까지 진화했다.한국인터넷진흥원(KISA)가 올 3월 접수받은 스미싱용 악성 앱의 경우는 더욱 심각하다. 스마트폰 SD카드에 저장된 공인인증서와 사진, 메모 폴더 등을 압축해 통째로 탈취하는 것으로 분석됐기 때문이다. 스마트폰을이용한 모바일 뱅킹이 활성화되면서 일부 사용자들이 보안카드를 촬영한 사진이나, 로그인에 필요한 ID와 비밀번호를 스마트폰에 저장해 사용하고 있는 것을 노린 것이다.

스마트폰 SD카드에 저장된 모든 파일을 압축해 통째로 탈취하는 스미싱용 악성 앱이 발견되어 그 심각성을 더하고 있다(사진은 기사와 상관없음).

스미싱에 속지 않는 법

그렇다면 이 스미싱으로부터 안전한 방법은 무엇이 있을까? 가장 좋은 방법은 문자메시지에 포함되어 있는 URL을 누르지 않는 것이다. 한 마디로 그냥 무시하고 삭제하는 것이 가장 좋다. 하지만 호기심이 무척 강한 사람들은 그냥 넘어가기에는 무척 아쉬울 것이다. 진짜 일 경우도 있다고 생각하니 말이다. 문자메시지에 포함되어 있는 URL은 보통 짧은 주소(Short URL)를 이용해 전달한다. 또 짧은 주소는 전체 내용을 읽기 좋게 가독성에도 도움이 된다. 문제는 이 짧은 주소의 원래 주소를 스마트폰에서 확인하기가 어렵다는 것이다. 특히 ‘악성코드가 설치라도 되면 어떡하지’라는 생각에 선뜻 누르지 못한다. 따라서 조금 귀찮더라도 직접 확인하는 것이 좋다. 친구가 보낸 진짜 스타벅스 커피쿠폰일수도 있지 않은가. URL을 직접 누르기보다는 출처를 확인해보는 방법이 있다. 즉, 문자 메시지에 포함된 짧은 URL을 원래의 주소로 변환해 확인해보자는 것이다.짧은 주소를 원래의 주소로 변환해주는 사이트는 많다. Longurl.org의 경우에는 최종 타깃URL 뿐만 아니라 중간의 경유하는 주소와 횟수까지 알 수 있도록 Redirect 정보도 제공하고 있다. 이 외에도 짧은 주소를 확인할 수 있는 사이트는 unshort.me, unshorten.it, unshorten.com이 있다.

문자메시지의 짧은 URL을 원래의 주소로 변환해 최종 타깃 URL을 알려주는 웹사이트.

이제는 국제가수가 되어버린 싸이. 그의 신곡 ‘젠틀맨’도 ‘강남스타일’에 못지않은 인기를 달리고 있다. 그리고 그 젠틀맨을 이용한 스미싱 수법도 나왔다. 바로 젠틀맨의 빌보드 1위를 위해 응원하자는 것. 그리고 아래는 짧은 URL이 포함되어 있다.

↑ 이미지 출처: Ulgoon's Blog <http://ulgoon.blogspot.kr/2013/04/it_16.html>

젠틀맨 빌보드 1위를 염원하는 스미싱 문자메시지.

젠틀맨 빌보드 1위를 염원하는 이 문자메시지에 포함된 URL은 어디로 연결된 것일까. Longurl.org를 통해 문자메시지의 정체를 알아보았다. 빌보드 1위를 위해서 동참하라고 한 문자메시지의 URL에는 빌보드와는 전혀 상관없는 주소로 가득했다.

정체가 궁금해진 기자는 확인된 주소를 클릭했더니 ‘GENTLEMAN.apk’ 파일을 저장할 것인지 묻는 다운로드 창이 나왔다. ‘apk’파일은 Android Package의 약자로 안드로이드 운영체제에서 작동하는 응용 프로그램 설치 파일이다.

빌보드 1위 집계를 프로그램 설치 횟수로 따지는 경우는 없기 때문에 100% 스미싱이라고 할 수 있다. 이렇게 조금 귀찮더라도 직접 URL을 확인해보면 진짜인지 가짜인지 금방 구별할 수 있기 때문에 도움이 된다.

원천적 봉쇄가 가장 안전해

스미싱이 뿌려지는 이유는 결국 금전적인 이득을 취하기 위해서다. 바꿔말하면 돈이 되지 않는다면 스미싱도 무용지물이 된다는 얘기. 소액결제가 필요한 사용자들도 있겠지만, 그렇지 않다면 소액결제를 원천적으로 차단하거나 결제 금액을 제한하는 방법이 금전적인 손실을 최소화할 수 있다. 방법은 간단하다. 자신이 사용하고 있는 이동통신사의 고객센터에 전화해서 소액결제 차단을 신청하면 끝이다. 또한 출처가 불분명한 앱을 스마트폰에 설치를 차단할 수 있는 설정 기능이 있다. 안드로이드 스마트폰의 경우 ‘환경설정-보안-디바이스 관리-알수 없는 출처에 체크 해제’를 하면 된다.

출처가 불분명한 앱은 보안에 취약한 경우가 많으므로 설치를 자제하는 것이 좋다.

스미싱 차단 앱 설치하자

최근에는 KT와 SK텔레콤 등 통신사에서 자사 고객들의 스미싱 피해 예방을 위한 앱을 출시했다.

KT, 올레스미싱차단

KT는 ‘올레스미싱차단’ 앱을 출시했다. 인터넷 유해사이트 차단서비스 전문회사인 플랜티넷과 공동으로 개발한 ‘올레스미싱차단’ 앱은 스미싱의 작동 원리를 미리 탐지해 차단하는 것이 특징이다.

이 앱은 사용자가 스미싱으로 의심되는 앱을 다운받았을 경우 스미싱 악성코드 감영 여부 분석 후 실시간으로경고하고 주기적인 스미싱 악성코드 감염여부를 체크한 후 삭제할 수 있도록 도와준다. 올레마켓이나 구글 플레이스토어, 대리점에서 배포되는 QR코드를 통해 다운로드받을 수 있으며, 안드로이드 스마트폰을 보유한 KT사용자들은 무료로 이용할 수 있다.

SKT, T가드

SKT는 스마트폰 종합 안심 서비스 애플리케이션 ‘T가드’를 출시해 개인정보의 안전한 관리와, 각종 악성코드 또는 불법 스팸으로 인한 사용자의 피해를 최소화했다. T가드는 하나의 앱에서 SK텔레콤이 개발한 각종 보안 서비스를 묶어 제공하며, 사용자는 한 번의 다운로드로 다양한 정보보호 기능을 휴대폰에 탑재할 수 있다.

T가드는 스마트톤용 백신 서비스 ‘T백신’을 탑재해 SMS를 통해 불법 소액결제를 발생시키는 스미싱앱과 요금폭탄이나 개인정보 유출을 유발하는 악성코드를 조기에 탐지하는 기능을 강화했다. SK텔레콤의 보안 데이터베이스에 저장된 악성코드나 스미싱 유발 앱, URL 경로 등이 고객의 스마트폰에 유입되면 T백신이 푸시(Push) 메시지로 사용자에게 알려주고, 해당 앱을 삭제할 수 있게 도와주는 방식이다. 또 다양한 검사 옵션을 통해 기존 모바일 백신들의 문제점이었던 배터리소모 과다와 단말 부하 과중 문제를 최소화했으며, 백신 검사 후 스마트폰램메모리와 캐시를 정리하는 부가기능도 탑재되어 있어 단말기 속도 향상에 도움을 준다. T가드는 T스토어나 구글플레이 등에서 다운받을 수 있다.

이스트소프트, 알약 안드로이드

이스트소프트는 스미싱 차단 기능과 리패키징 알림 기능을 추가한 ‘알약안드로이드(무료)’와 ‘알약 안드로이드 프리미엄(유료)’ 앱을 선보였다. 사용자 스마트폰에 개인 정보 또는 금융정보 탈취 목적의 스미싱 메시지 도 착시 해당 메시지를 바로 차단한다.

스미싱 메시지 내용에 따라 위험·의심 등급으로 분류해 사용자에게 발신정보와 수신 날짜가 포함한 스미싱 판단 이유 등의 정보를 보여준다. 리패키징 알림 기능은 스마트폰 사용자가 리패키징된 앱을 설치하면 해당 앱의 위험을 구체적으로 알려주고 공인된 어플리케이션 마켓을 통해 설치할것을 안내하는 프로그램이다.

잉카인터넷, 뭐야 이 문자

정보보안 업체 잉카인터넷은 알려지지 않은 신종 스미싱 문자메시지도 자동으로 분석·탐지가 가능한 ‘뭐야 이 문자’ 앱을 무료로 배포했다. 특히 지난해부터 최근까지 국내에서 자체 발견한 1천 종 이상의 국내 맞춤형 스미싱 형태를 분석한 데이터를 기반으로 하는 것이 특징이다.

잉카인터넷 대응팀에서는 국외에서 유포된 수십만종 이상의 안드로이드 악성 앱을 수집해 대응 중이며, 동시에 국내 이용자만을 특수하게 겨냥한 소액결제사기 목적의 안드로이드 기반 스마트폰 보안위협에 대한 원천차단방지 기술을 지난 해에 확보했다.

애플의 경우?

애플의 iOS를 사용하는 아이폰이나 아이패드의 경우는 애플의 앱스토어를 통하지 않으면 어떠한 앱도 설치할 수 없기 때문에, SMS등을 통해 전송된 URL을 눌러도 악성코드가 설치되지 않는다. 애플의 폐쇄적인 운영정책이 오히려 스마트 보안에는 도움이 되는 셈이다.

스미싱에 당했다면?

스미싱으로 피해를 입었다면 당황하지 말고 해당 통신사에서 소액결제이용내역을 발급받는다. 이를 가지고 경찰서를 방문해 피해 내용을 신고해‘사건사고 사실확인원’을 발급받는다. 이 확인서를 이동통신사와 게임사등 관련 사업자에 제출하면 보상대상과 기준에 부합하는 경우 결제 청구를 보류 또는 취소하거나 이미 결제된 피해액을 돌려받을 수 있다.

내 스마트폰은 내가 지킨다! 안전한 스마트폰 사용 규칙

1. 의심스러운 애플리케이션 다운받지 말자!
2. 신뢰할 수 없는 사이트는 방문하지 말자!
3. 발신인이 불명확하거나 의심스러운 메시지/메일은 바로 삭제!
4. 비밀번호 설정 기능 이용하고 정기적으로 변경하자!
5. 블루투스 기능 등 무선 인터페이스는 필요할 때만!
6. 느려지거나 오작동 되는 이상 증상 지속될 경우 악성코드 감영 확인!
7. 다운로드한 파일은 바이러스 유무 검사 후 사용하자!
8. 스마트폰과 연결되는 PC에도 백신 설치하고 정기적으로 검사하자!
9. 운영체제와 백신프로그램은 항상 최신 버전!

스마트TV가 더 위험하다

지난해 12월 외국의 한 보안업체가 인터넷으로 스마트TV에 접속해 악성소프트웨어를 설치한 후 내부의 모든 데이터를 검색, 조작하고 TV 기능을 완벽하게 제어하는 동영상을 공개해 파장을 일으켰다. 리눅스와 펌웨어를 사용하는 스마트TV에 존재하는 보안 취약점을 노린 것이다. 또 지난 3월 캐나다에서 열린 해킹 컨퍼런스 ‘캔섹웨스트(CanSecWest)’에서 고려대학교 사이버 국방학과 소속 이승신(29)씨가 전원이 꺼진 스마트TV 상태에서도 해킹을 통한 도촬을 선보여 충격을 가져왔다. 이 씨는 시청자의 사생활을 몰래 촬영한 뒤 이를 인터넷으로 생중계했다.

스마트TV 해킹은 전원이 꺼져있는 상태에서도 카메라는 물론 마이크 기능까지 작동시킬 수 있어 새로운 위협 요소로 등장했다.

사회적 혼란 야기할 수 있어

이렇듯 스마트TV도 해킹 위험에서 안전할 수 없게 되었다. 스마트TV는 스마트폰에 비해 보급률이나 성능이 낮은 것으로 평가돼 보안 위협은 높지 않을 것으로 알려졌지만, TV 보급이 확산되고 있는 만큼 안심하기는 어렵게 됐다. 스마트TV와 피싱의 합성어인 티비싱(Tvishing) 또한 심각한 위협을 가져온다. 스마트TV에 접속한 해커는 자신이 원하는 해적방송을 내보낼 수 있고, 이를 통해 홈쇼핑 등 녹화된 화면을 띄우고 자동주문번호를 자신의 번호로 바꿔치기 하면 TV를 시청하는 시청자는 속수무책으로 당할수밖에 없기 때문이다. 더 심각한 문제는 따로 있다. 바로 잘못된 정보를 뉴스 자막과 비슷하게 내보내게 된다면 사회적 혼란을 야기할 수 있다는 것이다. 보안전문가들은 스마트TV의 보급률이 더 높아지기 전에 미리 대책을 세워야 한다고 주장하고 있다. 스마트TV의 기능 경쟁에만 매달릴 것이 아니라 제대로 된 보안을 구축해 미래의 위협을 막아야 한다는 것이다. 전문가들은 특히 스마트TV뿐만 아니라 많은 가전제품들이 스마트화되고 인터넷에 연결되면 될수록 보안 문제가 폭발적으로 증가할 것으로 우려하고 있다.

PC사랑 다른기사 보기