• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[스미싱 돋보기] 피 같은 내 개인정보, 또 훔쳐가나? 2014.11.05

한 주간 동향, 법원·민원24·배송확인·민방위 사칭 스미싱 발견 주의!


[보안뉴스 김경애] “법원 판결서? 무슨 일이지?” -URL 클릭

“참나 쓰레기 방치 투기로 신고를 했다구? 누구야? 이따위 말도 안 되는 신고를 누가 한거야?”-URL 클릭


“생일초대?...누구 생일이지?” -URL 클릭


“민방위 훈련 날라 왔네 어디보자”-URL 클릭


지난달 29일부터 11월 3일까지 집계한 스미싱 동향으로 끊임없이 이용자를 괴롭히는 스미싱 문자의 내용들이다.

“나는 안 속을 거야” “누가 저런 메시지에 속아?” “설마 내가...”하는 마음으로 스미싱을 가뿐히 넘기는 경우도 있지만 이미 수많은 사람들이 피해를 입고 있다. 문자에 포함된 URL을 클릭할 경우 스마트폰에 저장된 개인정보, 금융정보 등은 모두 해커에게 넘어가게 되는 것이다.


이는 최근 스마트폰에서 탈취한 금융정보 및 개인정보 900여 건이 저장된 서버가 발견된 사실을 보면 알 수 있다. 특히 이번에는 법원이나, 민원24, 배송정보 등 고전수법이 기승을 부린 것으로 나타났다.


법원사칭과 민원24로 이전 수법 ‘부활’

이번 동향을 살펴보면 기존에 많이 사용했던 스미싱 수법이 도드라졌다. 한국인터넷진흥원이 운영하는 모바일앱 폰키퍼에 따르면 지난 3일 ‘법원 판결서확인여부:http://is.**/Wqmb**’문구와 인터넷주소가 포함된 스미싱 문자가 발견됐다. 법원 사칭 스미싱은 지난해 기승을 부린 스미싱 문자로 경찰청, 금융기관 사칭과 함께 랭킹 3위 안에 오른 적이 있는 단골 수법이다.


이 수법은 이용자에게 ‘법원 판결서확인여부’라는 문구로 이용자가 어떤 내용인지 확인하기 위해 URL을 클릭하도록 현혹하는 사회공학적 수법이다. 이는 그만큼 많은 이용자들이 모르고 악성앱이 설치되는 URL을 클릭하는 경우가 많고, 법원이라는 공공기관의 특성상 이용자가 잘 속기 때문인 것으로 풀이된다.

민원24를 사칭한 스미싱도 잇따라 발견됐다. 지난 1일에는 ‘[민원24] 쓰레기 방치 및 투기로 신고되어 안내드립니다. 신고내역 보기 lpod***.com’스미싱 문자가, 이보다 하루 앞선 30일에는 ‘[민원24]쓰레기 방치 및 투기로 신고되어 안내해드립니다.신고내역 확인www.niso***.me’문구와 URL이 포함된 스미싱 문자가 발견됐다. 


유독 가을에 돋보인 초대, 택배 스미싱

지난 2일에는 ‘생일파티 w*vg*z.co.kr’라는 간단한 문구와 URL로 더욱 호기심을 유발시키며, 이용자를 현혹하고 있다. 생일파티를 사칭한 스미싱의 경우 지난달 기승을 부리며 지금까지 꾸준히 발견되고 있는 스미싱 유형이다. 특히 지인으로 오인하기 쉽기 때문에 이용자는 반드시 URL 클릭을 하지 않도록 주의해야 하며, 실제 지인이 생일인 경우, 반드시 사전에 확인하는 습관이 중요하다.

    

31일에는 ‘배송 정보를 확인하시기 바랍니다 http://ka.*o/A0**’ 배송정보, 택배 스미싱은 가장 흔하게 발견되는 스미싱인 만큼 이용자의 스미싱 피해도 크다. 이는 배송확인이 일상생활에서 주로 이용되기 때문에 아무 의심 없이 URL을 클릭하는 경우가 비일비재하다는 얘기다.       

 

29일 발견된 민방위 사칭 스미싱도 마찬가지다. 해당 문구를 살펴보면 ‘http://211.**.**.***:8080/***.apk 민방위소집훈련대상자입니다 일필이확인’ 문구와 URL이 포함돼 있다. 특히 민방위 관련 스미싱은 해당 기관에서 URL을 포함한 문자 전송을 하지 않기 때문에 각별히 주의해야 한다.


이처럼 스미싱은 좀처럼 수그러들지 않고 있는 실정이다. 최근에는 스미싱 악성코드에 감염된 스마트폰에서 탈취한 공격자의 금융정보 및 개인정보를 수집하는 서버가 발견됐으며, 서버에는 공격자가 탈취한 것으로 보이는 피해자의 스마트폰용 금융 인증서, 신용카드 번호, 보안카드 및 일련번호, 계좌번호, 비밀번호 등 금융정보 및 개인정보 900여 건이 저장된 것으로 확인됐다. 따라서 이용자는 스미싱에 속지 않도록 각별히 주의해야 한다. 다음은 스미싱 피해 예방수칙이다.


[스미싱 피해 예방수칙 7가지]

1. 링크 클릭 주의 - 따라서 이용자는 해당 스미싱 문자를 받을 경우 URL을 클릭하지 않도록 유의해야 한다. 특히 출처가 불분명한 문자메시지의 링크주소(숫자열 포함) 클릭에 주의하고, 지인에게서 온 문자에 인터넷주소가 포함된 경우 클릭 전 안전한 링크인지 확인하는 것이 중요하다.


2. 스마트폰 보안설정 강화 - ‘환경설정>보안>디바이스 관리>알 수 없는 출처’에 V체크를 해제해 알 수 없는 출처의 앱 설치를 제한한다.


3. 백신프로그램 설치 - 항상 최신 버전으로 업데이트 및 실시간 감시상태 유지를 유지한다.


4. 소액결제 차단·제한 - 고객센터(114)로 전화해 소액결제 금액을 제한하거나 소액결제를 차단한다.


5. 금융정보 입력 제한 - 스마트폰 등 정보 저장장치에 보안카드나 비밀번호 등 중요정보를 사진으로 찍어 저장하지 말아야 하고, 보안승급 명목으로 보안카드번호를 요구하는 경우 입력하지 않도록 주의해야 한다.


6. 전자금융사기 예방서비스 가입 - 공인인증서 PC지정 등 전자금융사기 예방서비스에 가입한다.


7. 신고 상담 - 한국인터넷진흥원 118, 금융감독원 1332, 경찰청 사이버안전국 112를 통해 신고 또는 문의하면 된다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>