공짜 쿠폰 등으로 클릭 유도하는 피싱의 진화 ‘스미싱’ 비상!

공짜 쿠폰 등으로 클릭 유도하는 피싱의 진화 ‘스미싱’ 비상! AhnLab / 2013-04-25   ‘**애플리케이션 설치하면 아메리카노가 공짜!!’ A씨는 요즘  이와 같은 문자메시지를 자주 수신받는다. 특히 이번 문자는 공짜 커피를 준다는 내용인 데다가, 친절하게 애플리케이션을 다운받을 수 있는 웹사이트 주소도 적어 놓았다. 클릭 몇 번이면 되는데 외면할 이유가 있을까? 당연히 공짜 커피 마실 생각으로 링크를 클릭했다. 한 달 뒤 A씨는 자신이 모른 사이 30만 원이 소액 결제된 사실을 알았다.     스마트폰 사용자를 타깃으로 무료 쿠폰, 스마트 명세서 등의 낚시성 광고 문자를 보내 악성코드를 유포하고 소액 결제 방식으로 돈을 빼가는 해킹수법인 ‘스미싱(Smishing)’이 최근 기승을 부리고 있다. 피해 사례가 속출하고 있는 만큼 사용자들의 각별한 주의가 필요하다.   낚시 문자로 클릭 유도 → 악성 앱 설치 → 소액 결제 스미싱은 문자메시지(SMS)와 피싱(Phishing)의 합성어로, 문자를 이용해 개인 및 금융정보를 탈취하는 휴대폰 해킹 기법이다. 특정 링크가 적힌 낚시성 문자를 보내 사용자가 웹사이트를 클릭하게 한 뒤 악성코드를 설치해 금전적인 피해를 유발한다. 피싱이 스마트폰 사용자가 증가한 환경에 맞춰 진화한 것이다.   일반적으로 공격자가 스미싱으로 금전을 탈취하는 과정은 다음과 같다.   1. 공격자가 불특정 다수(혹은 특정 타깃 그룹)에 낚시성 문자메시지를 보낸다. 2. 사용자가 해당 문자에 적힌 특정 웹페이지에 접속하면 스마트폰에 악성 앱이 설치된다. 3. 악성 앱은 사용자 스마트폰의 문자, 네트워크 통신, 요금 부과 서비스 등에 대한 권한을 획득한다. 4. 공격자는 소액 결제를 시도하고 중간에서 인증번호를 가로채 결제를 완료한다. (이 과정에 결제 인증 메시지를 탈취해 사용자가 결제 사실을 알아 채지 못하도록 한다.)   최근엔 유출된 개인정보를 이용해 타깃 공격을 하거나, 공인인증서까지 탈취하는 형태까지 발견됐다.     공짜 쿠폰, 업데이트 등 낚시 방법 다양 다음은 자주 발생하는 스미싱의 사례를 모은 것이다.   1. 공짜 쿠폰, 할인권, 환급금  ‘공짜’, ‘할인’, ‘환급금’ 등과 같은 달콤한 유혹은 쉽게 뿌리치기가 어렵다. 그만큼 이들은 악성코드를 유포하는 공격자들의 단골 아이템이 되기도 한다. 신뢰도를 높이기 위해 사람들이 잘 알고 있는 브랜드나 제품 이름으로 접근하는 경우가 많다.    [그림 1] 공짜, 무료, 환급금 등으로 유인하는 스미싱 문자 (출처 : ASEC대응팀 주간 이슈 리포트 WIL)    2. 결제 금액 확인 및 스마트 명세서 쓰지도 않은 금액이 결제됐다는 문자를 받으면 당황해서 링크를 클릭해 내역을 확인할 가능성이 높다. 하지만 이 역시 교묘한 스미싱의 수법 중 하나다. 스마트폰으로 받아보는 카드 명세서나 핸드폰 요금 명세서 문자도 스미싱에 자주 이용된다.    [그림 2] 스미싱 문자 경고 메시지    3.  앱 다운로드 및 업데이트 공격자는 인기 앱의 다운로드나 업데이트를 악성코드 유포에 활용하기도 한다. 실제 올해 초에는 사용자가 많은 소셜 앱 관련 업데이트 문자가 악성코드 유포에 악용되기도 했다.    4. 사회적 이슈  대중의 호기심을 자극하는 사회적 이슈로 웹사이트를 클릭하도록 하는 방법 역시 스미싱에 자주 사용된다.     V3 모바일, 소액 결제 한도 설정, 스팸 차단 적극 활용   스미싱 피해를 예방하기 위해서는 낚시 문자에 현혹되지 않도록 주의해야 한다. 스팸 문자 차단 앱을 이용해 공짜, 쿠폰, 무료, 상품권 등의 문구는 스팸으로 등록한다. 문자로 온 링크는 웬만하면 클릭하지 말고 바로 삭제한다.   스마트폰용 백신인 ‘V3 모바일’을 설치하고 주기적으로 업데이트를 실시한다. 실시간 검사를 설정해 두면 좀 더 안전한 모바일 생활을 즐길 수 있다.   [그림 3] V3 모바일 2.0    소액 결제 한도 설정 및 결제 차단도 방법이다. 일반적으로 이동통신사는 개통과 함께 개인의 소액 결제 한도를 30만 원으로 설정해 놓는데, 이 한도를 줄여 놓거나 소액 결제를 이용하지 않는 사람이라면 아예 차단해 놓는 것도 좋다.     소액 결제 사기, 경찰에 신고부터! 스미싱으로 인해 금전적인 피해를 입었다면 우선 경찰에 피해 사실을 알려야야 한다. 경찰서 민원실을 방문하거나, 사이버테러대응센터(www.CTRC.GO.KR, 국번없이 182)로 신고하면 관련 상담을 받을 수 있다. 경찰서에 스미싱 피해 내용을 신고하면 ‘사건사고 사실 확인원’을 발급해 준다. 이를 통신사에 제출하면 통신사가 결제대행사에 이를 통보해 청구를 보류 또는 취소해준다. 이미 결제된 피해액에 대해서는 절차에 따라 돌려받을 수도 있도록 조치해 준다.@   스미싱(Smishing) 피해 예방법 1. 스마트폰용 백신 ‘V3 모바일’ 설치 및 업데이트, 실시간 검사 활성화 2. 소액 결제 한도 설정 및 결제 차단 3. 출처 불명의 앱 설치 차단 설정 (안드로이드 : 환경설정-보안-디바이스 관리- 알 수 없는 출처에 체크 해제) 4. 스팸 문자 사전 차단 혹은 공짜 쿠폰, 이벤트 당첨 등의 문자 주의 5. 출처가 확인되지 않은 링크 접속 자제 6. 공인된 오픈마켓을 통해 앱 설치