[TF초점] "삼성그룹입니다!" 신종 스미싱 기승, 최신형 휴대폰 '검은 유혹'
입력: 2017.11.09 05:00 / 수정: 2017.11.09 05:00

국내 유명 대기업 등을 사칭한 스미싱 문자가 유행하고 있어 피해에 유의해야 한다. /더팩트DB
국내 유명 대기업 등을 사칭한 스미싱 문자가 유행하고 있어 피해에 유의해야 한다. /더팩트DB

[더팩트ㅣ박대웅 기자] "삼성그룹에서 선물을 드립니다."

11월 1일 황당한 경험을 회상하며 직장인 박종후(가명) 씨는 "뭔가 홀린 거 같다"고 말했다. 이날 박 씨의 메일 계정으로 '삼성그룹 사용자 보상'이라는 제하의 메일이 도착했다. 평소 휴대전화부터 가전제품까지 삼성전자 제품을 많이 사용하고 있는 박 씨는 아무 의심없이 메일을 확인했다. 메일 내용은 이랬다. 매주 수요일 10명의 사용자를 무작위로 선택해 삼성전자의 최신 플래그십 스마트폰 갤럭시 S8과 갤럭시 탭 S3 또는 갤럭시 노트8을 포함한 경품을 제공한다는 내용이다. 이어 상품을 얻을 수 있는 세 가지 방법으로 메일 발송자가 제시하 질문에 답하면 된다. 발송자는 '삼성그룹 창립자는 누구지요?' 등 간단한 질문과 함께 상품 수령을 위한 개인정보 등을 요구한다. 물론 박 씨는 이 과정에서 이미 메일 발송자가 제시한 인터넷 주소(URL)를 클릭했다. 박 씨는 "아직 구체적인 피해는 없지만, 지금 생각해 보면 내 자신이 한심할 정도로 저런 스미싱에 당했다는 게 분하다"고 깊은 한숨을 내쉬었다. 박 씨는 본인 명의 통신사에 요청해 소액결제를 막았고, 은행에도 스미싱 의심 신고를 하는 등 추가적인 피해를 막기 위해 가능한 조치를 했다.

박 씨는 흔히 말해 '스미싱'에 당했다. 스미싱은 적게는 소액결제 수준의 금액부터 많게는 수백·수천만원까지 얼굴도 모르는 누군가에게 강탈 당할 수 있는 스마트폰 사기다. 스미싱의 원리는 의외로 간단하다. 스미싱을 노리는 해커는 이미 서버에 악성 응용프로그램(앱)을 올려 두고 사용자가 서버의 악성 앱을 내려받기로 연결되는 URL을 누루면 자동으로 설치되는 방식을 쓰고 있다. 간단하게 말해 'URL을 누르면 → 악성 앱이 자동으로 설치되고 → 악성 앱이 스마트폰에서 활동'하는 방식이다.

삼성그룹을 사칭한 스미싱 문자메시지 및 이메일이 유행하고 있다. /독자제공
삼성그룹을 사칭한 스미싱 문자메시지 및 이메일이 유행하고 있다. /독자제공

최근 유행하는 스미싱은 은행 앱을 활용한 수법이다. 악성 앱이 사용자의 스마트폰에 어떤 은행 앱이 설치돼 있는지 분석한 다음 정상적인 은행 앱을 삭제하고 가짜 앱을 설치한다. 사용자는 가짜 은행 앱인 줄도 모르고 비밀번호나 공인인증서 비밀번호 등 금융거래 정보를 해커에게 넘겨주게 된다. 해커는 이 정보를 활용해 사용자에게 심대한 피해를 준다.

소액결제를 활용한 스미싱 사기도 유행이다. 스미싱 문자와 함께 도착한 URL을 클릭해 설치하면 사용자의 폰에 악성 앱을 심고 나중에 사용자가 소액결제를 이용할 때를 노려 금전적 피해를 준다. 반면 소액결제를 활용하면서도 즉각적으로 금전을 인출하는 보다 고도화된 스미싱 기술도 있다.

해커가 소액결제로 스미싱하려면 먼저 흔히 PG(Payment Gateway)사라고 부르는 소액결제 대행업체에 등록돼 있어야 한다. 사용자로부터 몰래 빼낸 돈을 편취하가 위해서다.

해커는 스미싱 문자에 악성 앱 내려받기를 유도하는 URL을 넣어 문자를 발송한다. 누군가 URL을 누르면 악성 앱이 설치된다. 악성 앱은 스마트폰 백그라운드에서 실행되며 소액결제를 이용하기 위해 인증번호를 주고받고 이동통신업체와 전화번호 등을 넣어야 하는데 그 과정을 백그라운드에서 실행 중인 앱이 자동으로 진행해 버린다. 결국 스마트폰 사용자는 피해를 당했는지도 모르고 스미싱 피해자가 된다.

스미싱 문자나 메일 유형은 다양하다. '택배왔어요'나 날짜나 시간, 장소를 문자로 알려주는 예비군훈련대대를 사칭한 스미싱 문자메시지도 많다. 또한 중요한 사회적 사건이나 이슈가 터졌을 때 '속보' 등 이름을 붙이고 발송되는 스미싱 수법도 있다. 여기에 앞서 예로 든 것처럼 삼성그룹 등 대기업의 상호를 직접 언급한 스미싱 사기 메일 등 갈수록 스미싱 문자는 진화하고 있다.

삼성그룹을 사칭한 스미싱 메일은 삼성그룹 창업주는 누구냐 등 기본적인 문제로 사용자를 안심하게 한 뒤 개인정보 등을 탈취하고 있다. /독자제공
삼성그룹을 사칭한 스미싱 메일은 삼성그룹 창업주는 누구냐 등 기본적인 문제로 사용자를 안심하게 한 뒤 개인정보 등을 탈취하고 있다. /독자제공

스미싱 피해를 예방할 수 있는 가장 좋은 방법은 첨부된 URL을 누르지 않는 것이다. 조금이라도 의심이 가는 문자에 포함된 URL은 확인하지 않는 게 상책이다. 만약 안드로이드 스마트폰 사용자라면 '설정 → 보안' 메뉴에서 '알 수 없는 소스' 항목의 체크를 해제하는 것이 스미싱 피해를 막을 수 있는 근본적인 해결책이다. 이 항목을 체크하면 앱 장터가 아닌 다른 경로로 얻은 안드로이드 앱 설 파일(apk)이 마구잡이로 설치될 수 있다. 스미싱 URL이 주로 악성 앱처럼 동작한다는 것을 생각하면 '알 수 없는 소스' 항목은 반드시 체크하지 않는 것이 좋다.

백신 앱 역시 필수다. 이스트소프트와 안랩 등이 국내에서 안드로이드용 백신 앱을 개발하는 대표적 업체다. 이스트소프트는 구글플레이에 '알약 안드로이드'를 배포하고 있고, 안랩이 만든 'V3 모바일'은 삼성전자와 LG전자가 출시하는 안드로이드 스마트폰에 기본 탑재돼 있다.

스미싱과 별도로 '리패키징' 앱을 쓰지 않는 것도 피해를 줄일 수 있는 방법이다. 리패키징 앱은 원래 정상적인 앱을 악성코드를 주입해 해커가 새로 만든 앱을 말한다. 리패키징 앱은 구글플레이나 통신업체의 앱 장터 외에 인터넷 블로그나 웹사이트 등에서 흔히 볼 수 있으니 주의해야 한다.

bdu@tf.co.kr

발로 뛰는 <더팩트>는 24시간 여러분의 제보를 기다립니다.
▶카카오톡: '더팩트제보' 검색
▶이메일: jebo@tf.co.kr
▶뉴스 홈페이지: http://talk.tf.co.kr/bbs/report/write
- 네이버 메인 더팩트 구독하고 [특종보자▶]
- 그곳이 알고싶냐? [영상보기▶]
AD
인기기사
실시간 TOP10
정치
경제
사회
연예