알고 있으면 도움되는 "스미싱(Smishing)"

 안녕하세요. 정보보호 전문 업체 보안클라우드입니다.

 핸드폰으로 은행에서 내가 하지 않은 거래가 있었다는 경고 문자를 받으신 적 있으신가요? 택배의 위치를 알려주는 서비스를 이용하기 위해 링크를 클릭하신 적은요? 이러한 링크들을 무심코 접속하였다간 뉴스에서 어렵지 않게 보아왔던 사기 수법 스미싱에 당해 피해를 보실 수 있습니다.

| 스미싱(Smishing)이란?

스미싱 사기는 문자 메시지를 통해 수행되는 사이버 공격입니다. ‘SMS’와 ‘피싱’의 합성어로, 가짜 모바일 문자 메시지를 사용하여 사람들을 속여 멀웨어를 다운로드하거나 중요 정보를 공유하거나 공격자에게 돈을 송금하도록 유도하도록 사용자를 속이는 공격입니다. 여기서 멀웨어가 다운로드되거나 중요 정보가 탈취되었다면 이는 또 다른 공격의 빌미를 제공하기 때문에 스미싱에 대해 살펴볼까 합니다.

 

| 스미싱 예시

공격자들은 사용자들이 문자의 링크를 클릭하게 유도하기 위해 사용자들의 감정을 조작합니다. 호기심을 유발할 내용 혹은 다급한 내용 등으로 판단력이 흐려져 공격자의 명령을 따르도록 하는 것입니다. 다음은 여러 예시를 나열하였지만, 이것은 빙산의 일각처럼 작은 일부분에 불과합니다.

 

1. 금융 기관 사칭

핸드폰으로 내가 모르는 출금이 이루어졌다는 메시지가 오는 것은 아마 여러분들을 가장 다급하게 만드는 내용일 것입니다. 내용을 확인하기 위해 은행 링크를 클릭하지만, 정상 은행이 아닌 가짜 사이트로 접속이 되는 것입니다. 이곳에서 계좌 번호, 비밀번호, PIN 등을 입력하여 로그인을 시도하면 입력한 정보들은 모두 탈취가 되는 것입니다.

 

2. 정부를 사칭

경찰, 검찰, 공공기관에서 보내는 듯한 메시지를 전송할 수도 있습니다. 벌금이 부과되거나, 사건에 연루되거나, 정부 보조금을 수령해야 하는 등 다양한 방식으로 정부로 위장하고 있습니다.

 

3. 지인으로 사칭

가장 공격 성공이 높은 것이라고 생각합니다. 지인의 번호로 메시지를 받으면 보통 의심 없이 우리는 메시지를 확인하고 메시지에 해당하는 명령을 수행합니다. 하지만 이는 공격자가 이미 지인의 정보를 탈취하여 사용자까지 추가로 공격하려는 행위일 수도 있습니다. 즉, 지인의 번호로 메시지가 도착했지만, 실제론 지인의 번호를 사칭한 공격자가 전송한 것입니다.

 

4. 택배업체 사칭

택배 반송, 주소 확인, 택배 도착 등 배송 과정에서 문제가 발생하여 이를 해결하기 위해 링크 접속을 유도하곤 합니다. 많은 사람이 택배를 안전하고 빠르게 수령하기 원하는 마음에 링크를 클릭할 수 있기 때문입니다.

 

사용자를 속이기 위해 다양한 시나리오로 메시지를 전송 (출처 : 과학기술정보통신부)

| 대응

 스미싱 공격의 최대 초점은 사용자들을 속이는 것에 있습니다. 단순히 생각하면 사용자들이 속지 않으면 공격에 대응할 수 있습니다. 모르는 번호로 온 링크는 무슨 일이 있어도 클릭하지 않는 것이 좋습니다. 공공기관, 은행의 경우 메시지에 관해 확인하고 싶다면 홈페이지로 직접 접속하여 확인하는 것이 좋습니다. 신원 확인 또는 다른 사유로 링크 접속을 유도해 중요 정보를 훔치기 때문에 웹 사이트에 나와 있는 대표 전화번호로 확인하는 것이 좋습니다. 모바일 사이버 보안 솔루션을 설치하는 것이 좋습니다. 이것은 승인되지 않은 앱을 차단하고 의심스러운 문자를 스팸으로 처리할 수 있습니다.

 

 공격자들은 다양한 시나리오를 이용하여 사용자들을 속이고 시대가 지남에 따라 우리의 흥미를 유발하는 새로운 사건들이 발생합니다. 대표적으로 코로나 기간에 정부 보조금을 지원받기 위한 스미싱도 존재하였습니다. 이렇듯 스미싱을 방지하기 위해 몇 가지 예시를 알고 있는 것보다는 도착한 메시지에 대해 항상 의심해보는 습관이 좋은 예방이 될 수 있습니다.

  • 이전 전 세계적으로 퍼져가는 멀웨어(Malware) 공격
  • 다음 범죄자들의 세계 '다크웹'