• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[스미싱 돋보기] 공격기술 보단 심리 노린 3대 스미싱 2015.03.26

사회공학적 수법 악용한 3대 스미싱, 청첩장·교통위반·택배


[보안뉴스 김경애] 청첩장, 교통위반 범칙금, 택배를 사칭한 스미싱이 끊이지 않고 발견되고 있어 이용자들의 주의가 요구된다.


이에 본지가 한국인터넷진흥원이 운영하는 모바일앱 폰키퍼를 통해 지난 15일부터 25일까지 10일간 발견된 스미싱 유형을 분석해본 결과, 청첩장, 교통위반 범칙금, 택배를 사칭한 3가지 유형 스미싱이 번갈아 가면서 반복적으로 발견됐다.


청첩장 사칭 스미싱

발견된 청첩장 스미싱 문자 유형을 살펴보면 25일 ‘예식일시 [3월25일] 전자청첩장^ c**9.*r/*s*’ 문구와 인터넷 연결 링크 주소가, 이보다 앞서 지난 21일에는 ‘g<(축)^v^(카)♬(해(^v^9주)세h요. http://y**e*a*.**m’ 문구와 인터넷 주소가, 지난 17일에는 ‘^(축(^0^)카♬해)^0^주)세z요.^ http://r*kas*o.c*m’ 문구와 인터넷 주소가 포함돼 있다.    

특히, 해당 스미싱 유형을 살펴보면 특수문자나 띄어쓰기를 사용하거나 맞춤법 표기와 다르게 일부러 오타를 입력하고 있는 것이 특징이다. 이는 설정된 문자 차단을 우회하기 위한 공격자의 수법이다. 때문에 이용자는 이러한 스미싱에 현혹되지 않도록 주의해야 한다.


교통위반 범칙금 사칭 스미싱 

두 번째 기승을 부린 스미싱 유형은 교통위반 범칙금이다. 지난 24일에는 ‘[SMS 범칙금 고지] 귀하의 위반 적발내용 및 [납부 방법]t*g*.*o**r*o.c*m’ 문구와 인터넷 연결 링크 주소가, 지난 22일에는 ‘[제 8조6항] 귀하의 차량위반 적발사실 및 [수납방법] http://m**.r**e*i*e.c**’ 인터넷 링크 주소가, 지난 20일에는 ‘[제7조3항]귀하의 차량 위반 및 납부방법 http://c*o.w*ops*c*r.com’ 문구와 인터넷주소가, 지난 18일에는 ‘[자동알리미위반통지]귀하의 교통 위반 내용 통지 및 납부 명령 o*.r*m*i*c*r.c*m’ 문구와 인터넷 주소가, 지난 16일에는 ‘자동알림e위반통지 귀하의 교통 위반 내역 통지 및 납부 명령 http://e*u.sp*ac*r.com’ 문구와 인터넷 주소가 잇달아 발견됐다.    


특히, 교통위반 범칙금을 사칭한 스미싱의 경우 10일 동안 5건으로 가장 많이 발견됐다. 이는 범칙금 부과라는 문구를 통해 이용자의 불안심리를 자극하는 사회공학적 수법이다.

이에 이용자는 이러한 스미싱 문자를 받아도 당황하지 말고, 먼저 인터넷 연결 링크가 포함돼 있는지 확인부터 하는 습관이 중요하다. 대부분의 스미싱은 악성앱을 설치하기 위해 스미싱 문자 전송시 인터넷 연결 링크를 걸어놓기 때문이다. 


택배·반송 사칭 스미싱

이어 택배나 우편물 반송을 사칭한 스미싱도 한 주간 끊이지 않고 발생했다. 지난 23일에는 ‘로젠택배 3월23일 고객 배송 재확인 바람 주소지 확인 i*w*5**v.*j*3**ny.com’ 문구와 인터넷 연결 링크가, 이보다 앞서 지난 19일에는 ‘고객님 등기소포반송처리 수취불가 상세주소 다시 확인해 주세요 j*k*o**d.z*5**s*j.c*m’ 문구와 인터넷 링크가 포함돼 있었다.


이러한 스미싱은 최근 피해자 의심을 피하기 위해 전화번호, 캡챠코드 입력 요구 등 다양하게 진화하고 있다. 게다가 사람의 심리를 이용한 사회공학적 수법을 악용하고 있어 이용자가 쉽게 속을 수밖에 없다.

이와 관련 스틸리언 박찬암 대표는 “돈을 목적으로 한 공격자의 공통적인 특징을 보면 특별한 기술이나 고도의 기법보다는 사람의 심리를 이용해 이용자들을 쉽게 속이려는 사회공학적 수법을 많이 악용한다”며 “그러한 측면에서 굉장히 뛰어나다고 지적했다. 이에 스마트폰 사용자들은 스미싱 예방을 위한 8가지 보안수칙을 철저히 준수해야 한다.  


[스미싱 예방 8가지 보안수칙]

첫째, 스미싱 문자 안에 포함된 인터넷주소 URL을 클릭하지 않도록 각별히 주의해야 한다.

둘째, 스마트폰 보안설정 강화를 위해 환경설정>보안>디바이스 관리>알 수 없는 출처에 V체크를 해제해 알 수 없는 출처의 앱 설치를 제한한다.

셋째, 백신프로그램을 설치하고, 항상 최신 버전으로 업데이트 및 실시간 감시상태를 유지한다.


넷째, 고객센터(114)로 전화해 소액결제 금액을 제한하거나 소액결제를 차단한다.

다섯째, 금융정보 입력 제한을 위해 스마트폰 등 정보 저장장치에 보안카드나 비밀번호 등 중요정보를 사진으로 찍어 저장하지 말고, 보안승급 명목으로 보안카드번호를 요구하는 경우 입력하지 않도록 주의해야 한다.

여섯째, 공인인증서 PC지정 등 전자금융사기 예방서비스에 가입한다.


일곱째, 악성앱 삭제 방법은 스마트폰 내 다운로드 앱 실행->문자 클릭 시점 이후 설치된 앱 확인->‘환경설정’ 내 ‘어플리케이션 관리자’에서 확인한 악성앱을 삭제하면 된다. 만약 삭제되지 않을 경우 안전모드 부팅 후 삭제 또는 휴대전화 서비스센터를 방문해 스마트폰을 초기화하면 된다.


여덟째, 스미싱 문의 및 피해신고는 한국인터넷진흥원(118), 금융감독원(1332), 경찰청 사이버안전국(112)를 통해 하면 된다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>