• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[스미싱 돋보기] 결혼시즌, 청첩장 문자봤다가...앗! 스미싱 2015.04.11

예식날짜·전자청첩장·모바일 청첩장 등 이용자 현혹...URL 링크 주의


[보안뉴스 김경애] 주말을 맞이해 예식일 날짜를 넣은 결혼 사칭과 교통범칙금 관련 스미싱이 한 주간 번갈아가면서 발견됐다.


이에 본지가 한국인터넷진흥원이 운영하는 모바일 스미싱 앱 폰키퍼를 통해 지난 3월 26일부터 4월10일까지 발생한 스미싱 유형을 살펴본 결과, 최근 일주일간 결혼식 초대장과 교통범칙금을 사칭한 스미싱이 가장 많았으며, 3월 말경부터 4월 초까지는‘로젠택배’를 사칭한 스미싱이 기승을 부린 것으로 나타났다.


예식일 날짜 기재한 스미싱 기승

지난 10일에는 ‘예r식b일s시♥[4월9일]♥전자청첩장 http://ea*.kr/1*Jj*r’ 스미싱 문자가, 8일에는 ‘예식6일시♥[4월8일]♥전자청첩장 http://co1.*k*.d*E’ 스미싱이, 6일 ‘모i바b일,청y첩z장s이,도y착x하,엿y습s니c다 http://1*4.1*94/i*d*x.html’ 스미싱이 한 주간 기승을 부렸다.


특히, 예식날짜를 []안에 넣거나 전자청첩장, 모바일 청첩장 등의 문구를 넣어 이용자를 현혹하고 있다. 또한 ♥나 영문 표기로  차단을 교묘히 우회하고 있는 것이 특징이다.


이는 봄철 결혼시즌과 지인을 가장한 청첩장의 특성을 악용한 사회공학적 수법이다. 이용자가 쉽게 속을 수 있는 만큼 피해 발생이 우려된다.

 

교통범칙금 관련 스미싱 발견

이어 교통범칙금도 한 주간 기승을 부렸다. 지난 9일에는 ‘범칙금고지서 교통질서 미준수건으로 범칙금이 부과되었습니다. http://b*a.*ou*we.*om’스미싱 문자가,  7일에는 ‘스마트안내 교통범칙금 미납내역 안내입니다 http://n*w.*rk*mo.c*m’ 스미싱이, 3일 ‘(과태료 통보) 도로교통 차량 관련 과태료 내역입니다. *o*.*o*s**r.*o*’ 스미싱이 잇따라 발견됐다.


이 역시 이용자가 쉽게 속을 수 있도록 공공기관을 사칭하거나 교통범칙금 부과 문구 등을 이용하는 것이다.

로젠택배 사칭 기승

다음은 택배사칭 스미싱이다. 3월말경부터 4월초 기간 중 특정 택배회사 문구를 넣은 스미싱 유형이 집중적으로 뿌려졌다.


지난 4월 1일에는 ‘[로젠택배]XXX03/31 고객님 배송 재확인바람.주소지확인.k*i**a.d*n*.i*f*’ 스미싱이, 3월 30일에는 ‘[로젠택배]OOO 03/30 고객님배송 재확인바람.주소지확인. *j*l.*a**b*.*o.*r’ 스미싱이, 이보다 하루 앞선 지난 29일에도 ‘[로젠댁배] (03-28)고객님배송 재확인바람.주소지확인.http://e**.k*/x**E’ 스미싱이 연이어 발견됐다.


특히, 최근에는 사용자의 실명을 포함한 택배 스미싱 문구를 보내고 유명 택배사를 사칭해 모바일 홈페이지 접속을 유도하고 있다. 이러한 경우 실제 문자와 구별하기 힘들기 때문에 문자에 포함된 URL 링크를 클릭하지 않도록 각별히 주의해야 한다. 이와 관련 한 보안업체는 공격자가 사전에 탈취한 개인정보를 활용한 것으로 추정했다.


이외에도 지난 2일에는 ‘(민원24)법적기준 초과로 민원접수 되셨습니다. 확인하기m**.d*/*F*9*u*g’ 문구가 포함된 스미싱이 발견됐다.


따라서 이용자들은 다음과 같은 스미싱 예방 8가지 보안수칙을 참고해 피해를 예방하는 것이 바람직하다.


[스미싱 예방 8가지 보안수칙]

첫째, 스미싱 문자 안에 포함된 인터넷주소 URL을 클릭하지 않도록 각별히 주의해야 한다.


둘째, 스마트폰 보안설정 강화를 위해 환경설정>보안>디바이스 관리>알 수 없는 출처에 V체크를 해제해 알 수 없는 출처의 앱 설치를 제한한다.


셋째, 백신프로그램을 설치하고, 항상 최신 버전으로 업데이트 및 실시간 감시상태를 유지한다.


넷째, 고객센터(114)로 전화해 소액결제 금액을 제한하거나 소액결제를 차단한다.


다섯째, 금융정보 입력 제한을 위해 스마트폰 등 정보 저장장치에 보안카드나 비밀번호 등 중요정보를 사진으로 찍어 저장하지 말고, 보안승급 명목으로 보안카드번호를 요구하는 경우 입력하지 않도록 주의해야 한다.


여섯째, 공인인증서 PC지정 등 전자금융사기 예방서비스에 가입한다.


일곱째, 악성앱 삭제 방법은 스마트폰 내 다운로드 앱 실행-> 문자 클릭 시점 이후 설치된 앱 확인-> 환경설정내 어플리케이션 관리자에서 확인한 악성앱을 삭제하면 된다. 만약 삭제되지 않을 경우 안전모드 부팅 후 삭제 또는 휴대전화 서비스센터를 방문해 스마트폰을 초기화하면 된다.


여덟째, 스미싱 문의 및 피해신고는 한국인터넷진흥원(118), 금융감독원(1332), 경찰청 사이버안전국(112)를 통해 하면 된다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>