본문 바로가기
AhnLab 보안in/AhnLab 보안 바로알기

[안랩 보안 바로알기(Know the security) 캠페인]#7 스미싱 바로알기

by 보안세상 2020. 4. 18.

2013.10.31

 

고객님, 당황하셨죠? 저도 당황했습니다~” 최근 유명 개그 프로그램에 나온 유행어입니다. 이 유행어가 인기를 끈 후에 실제로 보이스피싱 피해가 줄었다는 이야기가 비공식 통계가 있을 정도로 큰 인기를 끌었는데요, 이젠 보이스 피싱에서 그 주제를 스미싱으로까지 넓혀야 할지도 모르겠습니다.

안랩의 보안 바로알기(Know the security) 캠페인의 럭키세븐 일곱 번째 이야기는 이렇게라도 피해를 줄이고 싶은 마음을 담아 스미싱에 대해 이야기 해보겠습니다.

 

스미싱이 무엇이길래

스미싱(Smishing)은 쉽게 말해 문자메시지(SMS)와 피싱(Phishing)의 합성어로 공격자가 스마트폰(안드로이드) 사용자에게 악성 인터넷 주소(URL)을 포함시킨 문자를 보내고, 실행 및 악성앱 설치를 유도해, 이를통해 피해자의 금융정보 및 개인정보를 탈취하는 신종 사기수법입니다.

 

, 흐름도를 보면 악성URL이 포함된 문자메시지 수신 -> 악성앱 설치 -> 악성앱 동작 -> 금융 및 개인정보 탈취 의 순서가 되겠습니다. 최근에는 대부분 악성 앱 설치를 유도하는데요, 여기서 알아두셔야할 것은 악성 앱 설치에는 두 가지 경로가 있을 수 있다는 것입니다.

 

먼저, 스미싱 메시지 내 URL을 실행해 설치파일(apk)을 내려 받는 경우입니다. 이 경우, URL실행을 통해 해당 앱의 설치파일(apk)를 받는다고해서 바로 악성코드에 감염되는 것이 아니라, 사용자가 다운로드 후 설치를 해야 감염됩니다. , 악성 앱의 설치파일인 apk(android application package)를 다운받은 후 설치하겠습니까?’라는 창에서 “설치” 버튼을 눌러 앱이 설치 되면 감염되는 것입니다. 다만 내 스마트폰의 안전장치를 풀어버린 루팅의 경우엔 사용자 몰래 자동으로 설치될 수도 있습니다.

 

다른 경우로는 구글플레이의 해당 앱 페이지에 직접 연결되는 경우가 있을 수 있습니다. 이는 흔치 않은 경우이긴 합니다만, 구글플레이에도 악성 앱이 올라간 사례가 있었습니다. 일반적으로 구글플레이에서는 설치파일(apk) 다운로드와 설치가 동시에 이루어지므로, 만약 공격자가 문자메시지에 자신이 구글플레이에 올린 악성 앱의 페이지로 연결을 시켜 놓는다면 무심코 설치하는 경우가 발생할 수 있습니다. 다만 이 경우에는 악성 앱이 아닌 합법적인 이벤트 앱인 경우가 있습니다. 따라서 앱 설치 전에는 평판이나 게시자 등을 꼼꼼히 확인할 필요가 있습니다.

 

수많은 형태의 안드로이드 악성코드 중 스미싱 악성코드의 두 번째 특징은 바로 금융결제에 필요한 정보를 주로 노린다는 것입니다. 이를 위해 모바일 뱅킹앱을 위장해서 금융정보를 탈취하는가 하면, 소액결제에 필요한 정보를 모두 빼내고, 결제 확인 문자까지 중간에 가로채서 해커에게 전송하는 기능을 가지고 있기도 합니다.

 

또 다른 특징으로는 일부 은행 앱이 설치된 경우, 해당 앱을 지우고 다시 설치하라는 메시지가 뜬다는 것입니다. 이 때 “알 수 없는 출처(소스)"의 허용 금지를 해제하라고 유도 합니다. 이렇게 재설치 된 앱을 실행해 금융정보를 입력하면 그 정보는 고스란히 해커의 손에 넘어갑니다.

 

2013년 상반기에만 스미싱 악성코드 피해신고 건수가 22,312, 피해 금액이 약 17억원에 달하는 등 스미싱 피해 규모가 날로 증가하고 있습니다.

 

스미싱 메시지 천태만상

위에서 말했듯 스미싱의 가장 큰 특징이 바로 문자메시지(카카오톡, 틱톡 류의 인스턴트메시징 앱 포함)에 악성 앱(악성코드가 포함된) 설치를 유도하는 URL을 삽입해서 보낸다는 것입니다. 해커의 입장에서는 자신이 공들여 만든 악성 앱의 설치율을 높이기 위해서는 얼마나 사람들을 유혹할 수 있는(속일 수 있는) 문자메시지를 보내는가 하는 것이 관건입니다.

 

스미싱 초기에는 주로 외식상품권 증정했으니 URL을 눌러 확인해라이나 행사 이벤트 당첨되었으니 URL을 눌러 받아가라는 등의 메시지가 등장했습니다. 최근에는 여기에서 더욱 발전(?)해 주민번호가 포함된 해외 IP 확인요청, 유명 외식업체, 통신사, 공공기관 등을 다양한 출처를 사칭한 사례가 발견되기도 했습니다.

 

최근 발견된 스미싱 문자 중 특이한 것은 명의 도용방지 서비스를 사칭한 해외 IP 확인요청이 주요 내용이었습니다. 해당 스미싱 문자에는 사용자의 이름/주민번호와 함께 ‘ooo.com(특정명의도용방지서비스 명)’의 링크가 포함되어 있어(실제 해당 서비스 업체의 주소는 약간 다름), 본인의 주민번호와 일치하는 문자를 받은 사용자는 의심 없이 URL을 클릭하기 쉽습니다.

 

또한 유명 외식업체를 사칭한 스미싱도 자주 발견되고 있습니다. ‘[ooo(유명외식업체 명)]10/17 결제금액 125000원 완료/결제확인차단 u*s*e*a13.com’ 와 같이 주로 구체적인 기업명을 포함하고 있어 사용자가 착각하기 더욱 쉽습니다. 또한, 최근에는 메시지도 선물 증정이 아닌 결제를 차단해서 당신을 보호하라라는 것으로 바뀌었습니다.

 

이 외에도 통신사를 사칭한 요금 청구서 확인’, 공공기관 사칭 무인단속 적발 스미싱 등이 발견됐습니다. 이들의 공통점은 '돌잔치', '모바일 청첩장', '피자업체 등 패스트푸드 쿠폰문자'등에 익숙해진 사용자를 속이기 위해 더욱 다양한 기관/기업/단체 등을 활용한다는 점입니다. 최근에는 저희 안랩의 고객센터와 쇼핑몰 번호를 사칭해서 스미싱 문자가 대량 발송되기도 했습니다.

 

피해를 방지하려면?

복잡한 스미싱에 비해 피해 방지는 의외로 쉬울 수 있습니다. 가장 확실한 방법은 문자메시지나 SNS, 인스턴트 메신저 등을 통해 받은 URL을 실행하지 않는 것입니다. 대부분의 믿을만한 기관은 문자에 URL을 절대 포함 시키지 않습니다. 그리고 만약 앱 설치파일(apk)을 다운로드를 받았다고 해도 앱을 설치하지 말아야 합니다. 또한, URL을 눌렀을 대 구글플레이 내 앱 설치 페이지로 넘어간다 하더라도, 설치 전에 평판이나 게시자를 확인하는 등 주의가 필요합니다.

 

다음으로는 모바일 전용 백신 사용이 있습니다. V3모바일과 같은 모바일 전용백신의 실시간 감시를 켜놓고, 주기적으로 검사한다면 스미싱 피해를 줄이실 수 있습니다.

 

안드로이드 스마트폰의 알 수 없는 출처(소스)의 허용 금지 설정도 좋은 방법입니다. 이 기능은 간단히 말해 확실한 출처가 아닌 앱의 설치를 막는 것입니다. 이는 (악성 앱일 가능성이 높은) 공식 마켓 이외 사설마켓이나 PC로 다운로드한 앱 설치파일(apk) 등 알 수 없는 출처의 앱 설치 시도를 막는 1차적인 안전 장치라 할 수 있습니다. 하지만 최근에는 공식 마켓에도 악성 앱이 올라오는 경우가 있어, 앱을 다운로드하기 전에 평판 등을 반드시 확인해 보는 것이 중요합니다.

 

마지막으로 안랩 안전한 문자를 비롯해 다양한 스미싱 탐지 전용 앱이 시중에 있으니, 이를 사용하시는 것도 필요합니다. 이런 스미싱 탐지 앱은 제품에 따라 제공하는 기능이 차이가 있으니 사전에 어떤 기능을 제공하는지 확인하시고 자신에게 가장 맞는 제품을 선택하는 것이 좋습니다.

 

 

최근 경우를 보면, 내 스마트폰에 악성코드가 침입해서 내 주소록에 있는 사람들에게 나의 이름으로 된 스미싱 문자가 발송되는 경우도 발생했습니다. 내 안전 뿐만 아니라, 내가 아끼는 주위사람을 위해서라도 스미싱을 포함한 스마트폰 보안에 신경 쓸 때입니다.