(-.-)a “스미싱 문자는 어떻게 내 돈을 빼 가나요?” (블로터넷 2014.04.21)

(-.-)a “스미싱 문자는 어떻게 내 돈을 빼 가나요?”

 

‘흥신소’는 돈을 받고 남의 뒤를 밟는 일을 주로 합니다. ‘네가 못 하는 일, 내가 대신 해 주겠다’는 뜻이죠. ‘블로터 흥신소’는 독자 여러분의 질문을 받고, 궁금한 점을 대신 알아봐 드리겠습니다. IT에 관한 질문이면 아낌없이 던져주세요. 알아봐 드리겠습니다. e메일(sideway@bloter.net), 페이스북(http://www.facebook.com/Bloter.net), 트위터(@bloter_news) 모두 좋습니다. ‘블로터 흥신소’는 언제나 영업 중입니다.

“스미싱 문자 누르면, 돈이 바로 빠져나간다던데요. 원리가 뭔가요?” – 박선영 독자(부평)

메시지가 도착했습니다. 다행히 전화기가 고장난 건 아녔습니다. 반가운 마음에 열어봤더니 법원이랍니다. 법원에서 등기가 발송됐으니 확인하라며 문자 한 통 남겨놨다는군요. 비교적 착한 일만 하고 살아왔다고 생각했는데, 법원이라니요. 걱정스러운 마음에 첨부된 URL을 눌러 웹사이트에 접속했습니다. 그때는 몰랐습니다. 그게 순진한 스마트폰 사용자의 뒤통수를 때리는 이른바 ‘스미싱’ 문자메시지라는 것을요. 스미싱 사기 문자는 적게는 소액결제 수준의 금액부터 많게는 수십만원까지 얼굴도 모르는 누군가에게 빼앗길 수 있는 스마트폰 사용자의 경계대상 1호입니다.

은행 앱 탈취 수법 기승

“사실 매우 원초적인 방법입니다. 스미싱을 노리는 해커가 이미 서버에 악성 응용프로그램(앱)을 올려 두고 사용자가 서버의 악성 앱 내려받기로 연결되는 URL을 누르면, 자동으로 설치되는 방식입니다.”

이스트소프트에 물어봤습니다. 이스트소프트는 ‘알약 안드로이드’ 백신을 만들어 배포하고 있습니다. 알고 보니 스미싱 문자메시지가 사용자의 돈을 터는 기술은 매우 간단한 원리로 동작합니다. URL을 누르면→악성 앱이 자동으로 설치되고→악성 앱이 스마트폰에서 활동을 시작합니다. 이 방식이 가장 흔합니다.

최근 가장 유행하는 스미싱 방법은 은행 앱을 활용한 수법입니다. 악성 앱이 사용자의 스마트폰에 어떤 은행 앱이 설치돼 있는지 분석한 다음, 정상적인 은행 앱을 삭제하고 가짜 앱을 설치하는 방식입니다. 사용자는 가짜 은행 앱인 줄도 모르고 비밀번호나 공인인증서 비밀번호 등 금융거래 정보를 고스란히 넘겨주게 됩니다. 해커는 이렇게 얻은 정보로 사용자에게 금전적인 손해를 끼칠 수 있습니다.

질문을 해주신 박선영 독자님은 마치 즉시 돈이 빠져나가 피해가 발생하는 것 아니냐고 질문 하셨지만, 사실은 이 같은 과정을 거치게 됩니다.

소액결제를 활용한 스미싱 사기도 유행입니다. 스미싱 문자를 발송해 사용자 스마트폰에 악성 앱을 심고, 나중에 사용자가 소액결제를 이용하는 때를 노리는 방식입니다. 바로 돈이 빠져나가는 것처럼 보이는 스미싱 방법도 있습니다. 역시 휴대폰의 소액결제 시스템을 활용하는 방식으로 좀 더 고도화된 스미싱 기술이라고 생각하면 됩니다.

해커가 소액결제로 스미싱을 하려면, 흔히 PG사(Payment Gateway)라고 부르는 소액결제 대행업체에 등록돼 있어야 합니다. 사용자로부터 몰래 빼낸 돈을 편취하기 위함이죠.

해커는 스미싱 문자메시지에 악성 앱 내려받기를 유도하는 URL을 넣어 문자메시지를 발송합니다. 누군가 URL을 누르면 악성 앱이 설치되도록 말입니다. 악성 앱은 사용자의 눈에는 보이지 않습니다. 스마트폰의 백그라운드에서 실행됩니다. 소액결제를 이용하기 위해서는 인증번호를 주고받고 이동통신업체와 전화번호 등을 넣어야 하는데, 그 과정을 백그라운드에서 실행 중인 앱이 자동으로 진행해 버립니다. 스마트폰 화면에서는 결제 과정이 보이지 않으니 사용자는 피해를 당했는지도 모르고 지나치는 경우가 많습니다.

김진욱 이스트소프트 홍보마케팅팀 대리는 “최근에는 소액결제 방식보다는 은행 앱을 탈취하는 기술이 더 널리 쓰이고 있다”라며 “소액결제 방식은 한도도 낮아지고 있고 해킹 성공 확률도 낮다 보니 잘 쓰이지 않는 것 같다”라고 설명했습니다.

김진욱 대리는 또한 “은행 보안카드를 사진으로 찍어서 다니는 사용자가 뜻밖에 많은데, 사용자의 사진첩에 있는 이미지를 분석해 보안카드 사진을 노리는 방식도 있다”라며 주의를 당부하기도 했습니다.

△ 사회적 이슈를 반영해 다양하게 바뀌는 스미싱 문자 문구

택배부터 예비군 훈련까지, 철 따라 바뀌는 문구

지난 2014년 1월 한 달 동안 이스트소프트에 신고된 스미싱 문자메시지만 해도 무려 1만건이라고 합니다. 한 달 사이 이렇게 많은 신고가 들어왔으니 신고되지 않은 스미싱 문자메시지는 이보다 수십배 더 많다는 뜻입니다. 안랩에서는 1월 한달 동안 대응을 완료한 스미싱 악성코드 개수를 1001개라고 밝혔습니다. 2013년 12월보다 2배, 2013년 1월과 비교하면 14배 이상 뛰어 오른 숫자입니다.

스미싱 건수도 많지만, 스미싱 문자메시지의 문구 유형도 다양합니다. 최근 특히 주의해야 하는 스미싱 문자메시지 유형을 소개합니다.

‘택배왔어요 형’이 가장 많이 쓰입니다. 물건을 주문하고, 오매불망 기다리는 사용자의 심리를 활용한 얕은 수법입니다. 봄철 예비군·민방위훈련 철을 맞아 예비군훈련대대를 사칭한 문자메시지도 많습니다. 예비군 동대에서 훈련 날짜나 시간, 장소를 문자메시지로 알려준다는 점을 활용한 수법입니다. 20·30대 군필 남성이 타깃이라고 할 수 있습니다. 최근에는 세월호 사고와 관련해 ‘속보’ 이름을 붙이고 발송되는 스미싱 문자도 접수된 바 있어 공분을 사고 있습니다. 지난 2월에는 소치 동계올림픽을 소재로 한 스미싱 문자도 있었습니다. 국제적 이슈나 사회적 관심사를 반영해 철 따라 시기따라 끊임없이 변주되는 셈입니다.

누르지 말고, 체크 해제하고

스미싱 피해를 당하지 않으려면, 조금이라도 의심이 가는 문자메시지에 포함된 URL은 누르지 않는 것이 상책입니다. 안드로이드 스마트폰 사용자라면, ‘설정→보안’ 메뉴에서 ‘알 수 없는 소스’ 항목의 체크를 해제하는 것이 스미싱 피해를 막을 수 있는 근본적인 해결책입니다. 이 항목을 체크하면, 앱 장터가 아닌 다른 경로로 얻은 안드로이드 앱 설치 파일(apk)도 마구잡이로 설치할 수 있게 됩니다. 스미싱 URL이 주로 악성 앱처럼 동작한다는 것을 생각하면, ‘알 수 없는 소스’ 항목은 체크를 하지 않는 것이 좋습니다.

안드로이드 스마트폰에서 백신 앱은 필수입니다. 이스트소프트와 안랩 등이 국내에서 안드로이드용 백신 앱을 개발하는 대표적인 업체입니다. 이스트소프트는 구글플레이에 ‘알약 안드로이드’를 배포하고 있습니다. 안랩이 만든 ‘V3 모바일’은 삼성전자와 LG전자가 출시하는 안드로이드 스마트폰에 기본 탑재됩니다. 최근 백신 앱은 스미싱 문자로 의심되는 문자메시지가 도착할 경우 사용자가 문자를 확인하기 전에 스미싱 경고를 해주는 기능도 갖고 있습니다. 스미싱 문자를 피해갈 수 있는 좋은 방법입니다.

문자 스미싱과 별도로 ‘리패키징’ 앱을 쓰지 않는 것도 피해를 줄이는 방법입니다. 리패키징 앱이란 원래는 정상적인 앱을 악성코드를 주입해 해커가 새로 만든 앱을 말합니다. 리패키징 앱은 구글플레이나 통신업체의 앱 장터 외에 인터넷 블로그나 웹사이트 등에서 흔히 볼 수 있으니 주의해야 합니다.

김진욱 이스트소프트 홍보마케팅팀 대리는 “사실, 이 모든 것을 모두 다 지켜야 한다”라며 “가장 좋은 방법은 소액결제 한도도 0원으로 하고, 조금이라도 의심이 가는 문자는 눌러보지 않는 것이 상책”이라고 설명했습니다.