솔루션
스미싱에 대한 오해와 대응법
디지털데일리
발행일 2013-05-07 09:59:08
[IT전문 미디어 블로그=딜라이트닷넷]
최근 이동통신사, 보안업계, 금융업계는 안드로이드폰 사용자를 노린 스미싱 공격에 골머리를 앓고 있습니다.
스미싱(Smishing)은 문자메시지(SMS)와 피싱(phishing)의 합성어입니다. 쿠폰 제공 등의 문자로 위장한 메시지를 클릭할 경우 사용자 휴대폰에 악성코드가 설치되고 이를 통해 소액결제 인증번호를 빼내는 신종 사기 수법이죠.
정부와 이통사에서 스미싱을 예방할 수 있는 다양한 대책을 내놓고 있지만 이를 막기는 쉬운일이 아닙니다. 이 때문에 스미싱에 대한 오해도 적지 않습니다.
◆오해1 = 스미싱 문자만 내려받아도 악성코드에 감염된다
피해자들은 ‘링크를 클릭했을뿐인데 감염됐다’라는 이야기를 하곤합니다. 그러나 이는 사실과 다릅니다.
스미싱 공격의 프로세스는 과거의 PC악성코드 유포방식과 크게 다르지 않습니다. 사용자들의 심리와 단축URL을 악용한다는 점은 동일하지만 범행 대상자의 기본적인 개인정보를 이미 알고 있는 상태에서 시도된다는 점에는 차이가 있죠.
해커는 먼저 악성코드가 삽입된 애플리케이션 패키지 파일(.apk)을 드롭박스와 같은 클라우드 스토리지에 저장하고, 그 주소를 단축URL로 변경해 사용자들에게 SMS형태로 배포합니다.
사용자가 해당 단축URL을 클릭하면 해당 악성 앱을 내려받게 되지만 자동으로 설치되는 경우는 없습니다.
박태환 안랩 ASEC대응팀장은 “안드로이드 앱 파일이 자동으로 설치되는 경우는 없으며 ‘알 수 없는 소스’ 옵션이 활성화 돼 있는 상황에서 내려받은 앱을 선택할 경우에만 설치된다”고 설명합니다.
◆오해2 = 앱이 설치됐을 경우 스미싱 공격을 막을 수 있는 방법은 없다
악성 앱이 설치되면 해당 앱은 사용자의 문자를 탈취합니다. 사용자가 PG(지불대행)사를 통해 소액결제를 요청할 때 승인문자가 오게 되는데, 이를 중간에서 가로채게 됩니다. 소액결제지만 최고 30만원의 금전적인 피해가 발생할 수 있으므로 주의가 필요하죠.
사용자들은 앱이 설치됐을 경우 스미싱 공격을 막을 수 있는 방법이 없다고 생각하지만, 이는 반대로 앱을 삭제하면 위험에서 벗어날 수 있습니다.
악성 앱들도 안드로이드 시스템에서 구동되기 때문에 안드로이드의 특성을 무시하고 동작할 수는 없습니다. 앱이 설치되면 설정 상 앱 목록에 나타나고, 프로세스에서도 확인할 수 있습니다. 이상한 앱을 설치했다고 생각할 경우, 이를 바로 삭제하면 피해를 최소화할 수 있습니다.
◆스미싱을 막을 수 있는 방법은?
금전적인 피해를 막는 가장 좋은 방법은 소액결제를 불가능하도록 만드는 것입니다. 소액결제는 이동통신사와 PG사와의 계약을 통해 최저 1000원에서 최고 30만원까지 휴대전화 요금으로 후불 결제할 수 있는 방식입니다.
만약 평소에 소액결제를 사용하지 않을 경우 고객센터(휴대전화 114)를 통해 소액결제 금액을 축소하거나 사용하지 않도록 설정할 수 있습니다. 이렇게 설정 할 경우 혹시나 악성 앱을 설치하더라도 금전적인 피해는 예방할 수 있죠.
두 번째로는 안드로이드폰 설정에서 ‘알 수 없는 출처의 앱 설치’ 설정을 꺼두는 것이다. 지난해 이동통신사와 금융권에서는 안드로이드폰 사용자들에게 ‘알 수 없는 출처’ 설정을 활성화하도록 권유했습니다.
‘알 수 없는 출처’ 설정을 비활성화해두면 자체적으로 내려받은 앱을 설치할 수 없습니다. 이는 악성 앱 등도 설치가 불가능하다는 이야기입니다. 앱은 설치되지 않으면 제기능을 발휘하지 못하기 때문에 위험도는 낮아질 수 있습니다.
세 번째로는 모바일백신을 활용하는 것입니다. 안랩, 잉카인터넷, 이스트소프트 등 국내 보안업체들은 개인용 안드로이드폰용 모바일 백신 앱을 무료로 배포하고 있습니다. 최근 에스이웍스의 스미싱가드 앱은 스미싱을 전용 백신이란 점에서 인기를 끌고 있습니다.
과거 이러한 백신 앱들은 모바일 기기의 성능을 저해한다는 점에서 기피됐지만 모바일 기기의 높아진 성능과 가벼워진 엔진으로 충분한 효과를 볼 수 있을 것으로 예상됩니다.
[이민형 기자 블로그=인터넷 일상다반사]
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지