• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[스미싱 돋보기] ‘축하해주세요’와 ‘sms 자동통지서비스’ 클릭 주의! 2015.03.16

‘축하해 주세요’ 문구 사이에 괄호, 숫자, 특수 문자 넣어 차단 우회

교통위반 스미싱에서 ‘sms자동통지서비스’ 문구 등 갈수록 지능화


[보안뉴스 김경애] ‘축하해 주세요’와 ‘sms 자동통지서비스’를 사칭한 스미싱이 한 주간 기승을 부린 것으로 나타나 이용자들의 주의가 요구된다.


이는 본지가 지난 7일부터 14일까지 발생한 스미싱을 분석한 결과에 따른 것이다.


축하해주세요 사칭 스미싱 ‘주의’

한국인터넷진흥원이 운영하는 폰키퍼에 따르면 지난 14일 ‘(축(하(:해]주)세)요 http://g**e**u.c*m’ 스미싱 문자가, 이보다 앞서 지나 13일 ‘^a^(축8하(:해8주)세v요^^ http://*or*eh*.co*’ 스미싱 문자가 발견됐다.


‘축하해주세요’ 스미싱의 경우 가장 많이 발생하는 스미싱 유형으로 누가 전송했는지 일부러 밝히지 않고 불특정 다수에게 전송하는 것이 특징이다. 이는 해당 스미싱을 받은 이용자가 지인이 보낸 것으로 착각하고, 누군지 확인하기 위해 스미싱 문자에 포함된 URL 링크를 클릭할 수 있는 점을 공격자가 노린 것이다. 즉, 이용자의 호기심을 자극하는 문구로 클릭을 유도하는 수법이다. 게다가 스미싱 차단을 우회하기 위해 각종 괄호, 숫자, 특수문자 등을 축하해주세요 문구 사이에 끼워 넣고 있다.


교통위반->‘sms자동통지서비스’로 사칭 변경

또한 sms자동통지서비스를 사칭한 교통위반 스미싱도 한 주간 기승을 부렸다. 지난 12일에는 ‘(sms자동통지서비스)교통위반으로 처분및 간편납부 발부되었습니다http://uo*c.*m*e*iu*.c*m’ 스미싱 문자가, 이보다 앞서 10일 ‘[SMS 자동통지서비스] 교통위반으로 처분 및[간편납부]발부되었습니다.*y.**s*iq.c*m’ 스미싱 문자가 발견됐다.


특히 이번에 발견된 스미싱의 경우, 이전의 교통위반 사칭 스미싱에서 sms 자동통지서비스 문구가 추가된 것이 특징이다.


   ▲ 스미싱 문자에 포함된 인터넷 링크 클릭시
      보이는 화면으로 악성앱 설치를 유도하는
       ‘eFINE교통범칙금 과태료 조회·납부시스템’
      (출처: binipapa1 블로그) 

이와 관련 블로거 binipapa1는 지난 10일 “스미싱 문자를 받기전 운전하면서 속도를 높였던 구간이 있었는데, 이에 대한 범칙금 문자인줄 알고, 스미싱 문자에 포함된 인터넷 연결 주소를 클릭했더니 ‘eFINE교통범칙금 과태료 조회·납부시스템’ 창이 떴다”며 “핸드폰 번호를 입력하면 악성코드가 깔리고, 상대방이 전화해도 수신되지 않는 등 몇 시간 동안 전화가 불통이었다”고 밝혔다. 따라서 이용자는 이러한 스미싱 문자를 받아도 클릭하지 않도록 각별히 주의해야 한다.


이외에도 지난 11일 ‘[민원24] 주민등록증 분실신고가 정상접수 확인: [http://go*.g*/*as*Zg]’ 스미싱 문자가 잇따라 발견됐다. 따라서 이용자는 앞서 언급한 해당 스미싱 유형에 각별히 주의하고, 다음과 같은 스미싱 예방 8가지 보안수칙을 참고해 스미싱 피해를 입지 않도록 해야 한다.


[스미싱 예방 8가지 보안수칙]

첫째, 스미싱 문자 안에 포함된 인터넷주소 URL을 클릭하지 않도록 각별히 주의해야 한다.


둘째, 스마트폰 보안설정 강화를 위해 ‘환경설정>보안>디바이스 관리>알 수 없는 출처’에 V체크를 해제해 알 수 없는 출처의 앱 설치를 제한한다.


셋째, 백신프로그램을 설치하고, 항상 최신 버전으로 업데이트 및 실시간 감시상태를 유지한다.


넷째, 고객센터(114)로 전화해 소액결제 금액을 제한하거나 소액결제를 차단한다.


다섯째, 금융정보 입력 제한을 위해 스마트폰 등 정보 저장장치에 보안카드나 비밀번호 등 중요정보를 사진으로 찍어 저장하지 말고, 보안승급 명목으로 보안카드번호를 요구하는 경우 입력하지 않도록 주의해야 한다.


여섯째, 공인인증서 PC지정 등 전자금융사기 예방서비스에 가입한다.


일곱째, 악성앱 삭제방법은 스마트폰 내 환경설정-> 어플리케이션 관리자-> 다운로드로 이동, 문자 클릭 시점 이후 apk 파일을 삭제하면 된다. 만약 악성앱이 삭제되지 않을 경우 안전모드를 부팅한 후 삭제하거나 휴대전화 서비스센터 또는 스마트폰 초기화를 통해 삭제할 수 있다.


여덟째, 스미싱 문의 및 피해신고는 한국인터넷진흥원(118), 금융감독원(1332), 경찰청 사이버안전국(112)를 통해 하면 된다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>