소액결제·디도스·스마트뱅킹 앱 사칭·스파이앱 등 공격 유형 진화

백신 설치 및 실시간 감시 기능 활성화·소액결제 차단·스팸필터링

스마트폰 환경설정 디바이스 관리에서 알 수 없는 출처 체크 해제

[보안뉴스 김경애] 최근 스미싱 문자 유형을 살펴보면 민방위 사칭을 비롯해 주차단속, 세월호, 개인정보 유출, 택배, 카드결제, 경찰청 출석 등 사회적 이슈나 이용자의 심리를 자극하는 문구로 갈수록 그 수법이 교묘해지고 있다.

안랩이 집계한 스미싱 악성코드 현황에 따르면 2012년 1월 1개였던 스미싱이 2014년 1월 1001개로 집계되면서 어마어마한 수치로 급증했다.

이러한 스미싱은 사용자 단말기에 애플리케이션으로 위장한 트로이목마를 설치하는 해킹 기법으로 스마트폰 이용자가 스미싱 문자에 포함된 URL을 클릭하면 스마트폰에 악성코드가 설치된다.

공격기법과 피해유형도 △30만원 상당의 소액결제 △분산서비스거부 공격 기능을 탑재한 모바일 디도스 공격 △스마트뱅킹 앱을 사칭해 개인 금융정보를 탈취하는 모바일 금융사기 △문자메시지, 사진, 위치추적 등 사생활 침해 기능의 스파이앱 등 갈수록 진화하고 있다.

이 가운데 소액결제 악성코드의 경우 공격자에게 소액결제 인증번호를 전송하고, 공격자는 사이버머니 또는 아이템을 구입한다. 이후 피해자에게 소액결제 대금을 청구하면 이용자는 사건 발생 1~2달 후에서야 스미싱 피해사실을 알게 된다.

그렇다면 스미싱이 기승을 부리는 원인은 무엇이며, 이용자 스스로 그 피해를 예방할 수 있는 방법은 무엇일까?

먼저 스미싱이 기승을 부리는 이유는 바로 경제적 이익과 정보탈취 등이 쉽게 가능하기 때문이다. 더욱이 소액결제 스미싱은 금액이 크지 않다는 이유로 이용자나 수사당국의 관심을 덜 받을 수 있는 점을 공격자가 악용한 것. 뿐만 아니라 해외 여러 서버를 경유해 추적이 쉽지 않은 점도 스미싱을 활개를 치는 요인 중 하나다.

이와 관련 호서대학교 박대우 교수는 “공격자는 사용자번호, 시리얼번호, 포트 등의 정보만으로 스마트폰 통제할 수 있다”며 “30만원 이하의 경우 공인인증서 없이도 결제가 가능하기 때문에 보안위협은 더욱 커질 수 있다”고 지목했다.

▲호서대학교 박대우 교수

이에 따라 박 교수는 사용자를 위한 스미싱 보안 지침을 다음과 같이 제시했다.

△불명확한 문자의 단축URL 클릭 주의 △신뢰할 수 있는 보안업체 및 기관 모바일 백신 설치 및 실시간 감시 기능 활성화 △통신사 고객센터나 공식 홈페이지 통해 스마트폰 소액결제 서비스 미리 차단 △통신사 홈페이지에서 소액결제 한도 0원으로 변경 △애플리케이션 설치 시 검증된 애플리케이션만 사용 △의심스런 문자 수신 시 반드시 해당기관에 확인 후 정상적인 내용만 실행 △제3자에게 개인의 신상정보 제공 금지 △정상 애플리케이션의 마켓 데이터베이스 구축 후 정상 앱과 위·변조 앱 구분 △스팸 필터링 기능으로 발신자의 신뢰도 및 내용정보 분석해서 자동으로 필터링 △스미싱 사고 시 통신사에서 제공하는 스미싱 피해 보상대책 적용 등이다.

이와 함께 박 교수는 “안드로이드에서 루팅을 사용해 관리자 권한을 변경하지 않으면 보안성이 상대적으로 강화될 수 있다”며 “안드로이드 사용자 스스로 환경설정->보안->디바이스 관리->알 수 없는 출처에 대한 체크를 해제”할 것을 당부했다. 또한 그는 URL연결 허용을 해제하면 스미싱 문자의 URL을 클릭했어도 URL에 연결되지 않아 스미싱 피해를 막을 수 있다고 덧붙였다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>