• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

‘휴대폰번호도용방지서비스’ 문자가 스미싱? 2014.02.04

불법스팸대응센터, 사전검열 없이 ‘스미싱문자’로 포함시켜 ‘논란’

이용자 인식 안된 상태, 업체 무분별 광고성 문자 전송 개선 필요


 ▲ 4일 오전 불법스팸대응센터에서 최근 1개월 이내 가장 많이 신고된 스미싱 문자로 업데이트된 해당 메시지는 스미싱 문자가 아닌 것으로 밝혀지면서 현재는 삭제된 상태다.

[보안뉴스 김경애] 이동통신사의 부가서비스로 ‘휴대폰번호도용방지서비스’를 제공하는 업체가 엉뚱하게 스미싱 문자로 오인되는 사례가 발생했다.


지난 3일 불법스팸대응센터 알림판인 ‘스미싱문자메시지 주의안내’에서 24시간 이내 접수된 6가지 새로운 스미싱 문자 유형에 포함된 것. 불법스팸대응센터는 국민에게 스팸 차단 방법 등을 안내하고, 스팸 피해를 사전에 예방하기 위해 각종 인식제고 활동을 펼치는 곳으로, 현재 한국인터넷진흥원이 운영하고 있다.


그러나 본지가 지난 3일 보도한 불법스팸대응센터에 24시간 이내 접수된 새로운 유형의 스미싱 문자 6가지 유형 중 ‘[00]휴대폰정보유출주의! 보호하시겠습니까? http://kcert.org/r7I_2ub 거부15991694’ 문구와 인터넷 주소는 스미싱 문자가 아닌 것으로 드러났다.


이와 관련 해당 스미싱문자로 오인 접수된 민앤지 측은 “당사는 이동통신 3사(SK, KT, LG유플러스)의 부가서비스인 ‘휴대폰번호도용방지 서비스’를 하는 업체인데 불법스팸대응센터에서 스미싱 문자로 오인해 ‘스미싱문자메시지 주의안내’ 게시판에 올렸다”며 “‘휴대폰번호도용방지서비스’는 스미싱으로부터 보호하기 위해 휴대폰 본인인증 시, 본인이 정한 승인번호문자를 비밀번호로 입력한 후 수신하도록 하는 이중암호 보안서비스”라고 밝혔다. 또한 해당 서비스는 업체가 지난 2010년 3월부터 제공해 왔다는 것.


이에 본지가 불법스팸대응센터에 확인한 결과 스미싱 문자가 아닌 것으로 밝혀지면서 불법스팸대응센터 측은 ‘스미싱문자메시지 주의안내’에서 해당 내용을 삭제하겠다고 밝혔다.


그렇다면 어떻게 불법스팸대응센터에서 스미싱 문자로 오인하게 되었을까? 이와 관련 불법스팸대응센터 측은 “24시간 이내 접수되는 스미싱 문자는 이용자가 실시간으로 접수한 수치를 통계로 하고 있기 때문에 스미싱 문자인지 아닌지 여부의 사전검열은 하고 있지 않다”며 “접수된 현황을 토대로 악성프로그램 다운로드 및 소액결제를 유도하는 스미싱인지 사후검사를 하고 있다”고 말했다. 즉 사전검열이 제대로 이뤄지지 않은 상태로 ‘스미싱문자메시지 주의안내’로 공지된다는 얘기다.


이처럼 스미싱 문자가 아님에도 불구하고 잘못 오인돼 피해를 보는 업체는 또 없었을까? 이와 관련 불법스팸대응센터 측은 “이전에 이런 일이 한 번도 발생하지 않았다”며 “향후 사전에 스미싱으로 분류할 수 있도록 검토할 계획”이라고 밝혔다.


그럼 이용자들은 민앤지 측에서 전송한 문자를 왜 스미싱 문자로 오인하고 많이 신고했을까?


4일 오전만 하더라도 민앤지 측에서 전송한 해당 메시지는 최근1개월 이내 가장 많이 신고된 스미싱 문자로 업데이트됐다. 이는 이용자들이 문자전송에 있어 사전 동의에 대해 제대로 인식하지 못한 상태에서 ‘[00]휴대폰정보유출주의! 보호하시겠습니까?’라는 홍보·광고성 문자가 무분별하게 대량으로 전송된 것도 문제였다는 사실을 대변해준다.

 ▲민앤지 서비스가입 웹페이지


이와 관련 지난 2011년 1월 한 네티즌은 ‘휴대폰으로 인증을 받을려다 보니 휴대폰번호 도용방지 문자라고 해서 왔는데 가입해도 되는건가여? kt 에서 보낸건줄 알았는데 번호는 다른 번호로 해서 수신 됐네여~?’라는 글을 포털사이트에 올렸고, 1월 29일 또 다른 네티즌은 ‘┖넥슨 아이디랑 비번을 잊어 버려서 휴대폰 인증을 했는데요, 폰에 인증번호가 뜨더라구요..그래서 인증번호 입력해서 아이디는 알아냈고 비번은 찾을려고 하니깐 네트워크 불안정으로 2번이나 실패하더라구요. 그리고 나서 폰 보니까 통신사에서 "휴대폰 정보 유출 주의! 보호하시겠습니까? 거부(이 다음에 전화번호 적혀있고..) 실행: 연결하기" 이렇게 문자가 와있더라구요..’라고 포털 사이트에 글을 남긴 것을 본지는 확인할 수 있었다.


또한 기존 스미싱의 경우 악성앱을 다운로드 받을 수 있도록 인터넷 주소를 포함하고 있는데 민앤지 측이 전송한 문자에도 인터넷 주소를 포함하고 있어 이용자 입장에서는 스미싱으로 오인하기 쉽다. 뿐만 아니라 카드사 정보유출 사건으로 전국이 시끄러운 가운데 각종 금융사를 사칭한 스미싱까지 돌고 있어 이용자는 휴대폰정보유출주의!를 사칭한 스미싱으로 쉽게 오해할 수밖에 없다.


이와 관련 불법스팸대응센터 측은 “민앤지 측에서도 이용자가 서비스 이용에 대해 명확히 이해할 수 있도록 사전공지가 이뤄지지 않은 점을 인정해 개선하겠다는 답변을 받았다”고 밝혔다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>