스미싱-'무심코 클릭'을 위한 유혹

기사 보기 => 은밀한 정보까지 빼내..'결합형' 스미싱 등장

요즘 가장 '핫'한 전자금융사기는 아무래도 '스미싱'이다. '스미싱'(SMS+Phishing)이라는 생소한 조어가 이제는 어디서 한번쯤은 들어봄직한 말이 됐다. 이보다 상위 개념일 '피싱'(Private data+Fishing)은 더욱 그렇다. 한때를 풍미했던 '보이스 피싱'은 좀 흘러간 사기가 됐다.

 

경찰청 통계를 보면 이런 사실이 숫자로 확인할 수 있다. 고전적인 보이스 피싱 사기 피해는 급격히 줄었다. 2011년엔 8천 244건, 2012년 5천 709건, 2013년(1~10월)은 4천 22건이다. 반면 이전 통계는 잡히지 않지만 2013년 스미싱 사기 피해는 무려 2만 8천 469건에 이른다. 

 

스미싱은 문자를 이용해 휴대전화(스마트폰)에 악성코드를 심는 수법을 쓴다. 이후 휴대전화 소액결제에 필요한 인증번호를 빼돌리거나 하는 식이다. 악성코드를 심기 위해 가장 중요한 건 어떻게든 문자메시지에 포함돼 있는 인터넷 주소를 클릭하도록 하는 것이다. 일단 클릭하면 백신 앱이나 기타 여러 다른 앱으로 위장한 악성 앱이 스마트폰에 알 수 있게 혹은 알지 못하게 깔리게 되고 그 앱이 깔리고 나면 이른바 '좀비 폰'이 돼 그 다음부터는 '해커 맘대로'가 된다. 

 

연말이면 송년회, 신년회 참석, 연말정산 환급금 조회, 건강검진 받으세요, 빅맥세트 쿠폰받아가세요, 동창 찾기, 결혼식, 돌잔치 초청, 소녀시대 18세 이전 사진 보기, 장성택 처형 영상, 새로 바뀌는 도로명 주소 확인, 법원 등기 확인 등등 시기시기마다, 사안사안마다 "어떻게 이런 것까지 생각해 사기를 치지?" 싶은 스미싱의 목적은 단 하나, 주소를 클릭하게 하라, 그것이다.

 

경찰과 보안업체의 도움을 받아 어떤 과정을 거쳐 스미싱 문자를 받은 스마트폰에 악성 코드를 깔게 되는지를 살펴봤다. 

 

 택배 도착을 가장한 스미싱 문자가 도착 

-> 이 문자에 낚여 링크 주소를 클릭  

-> 인터넷 창 여는 데 시간이 걸리는 듯...아무것도 안 나타나고 

-> V3 3.0 백신 앱을 깔겠냐고 질문

(현재 나와 있는 게 2.0, 업그레이드 버전이 나온 것처럼 위장) 

-> 수락하면 V3 3.0(가짜 앱)이 깔리면서 어떤 금융기관 앱이 깔려있는지 탐지 

-> 해당 앱 업데이트하겠다고 질문 

-> 수락하면 업데이트하고 다시 제거하겠냐고 질문

(진짜 앱을 지우고 가짜 앱을 까는 과정) 

-> 새로 깐 금융기관 앱을 실행하면 

ID와 계좌번호, 주민번호, 보안카드 번호를 넣으라는 창이 차례로 열림 

-> 업데이트 하는 데 필요한 줄 알고 넣다보면... 개인정보가 줄줄이 털리는 것!

 

내 스마트폰에도 수십 개의 앱이 깔려있고 시시때때로 업데이트를 하는데 일부는 그때마다 업데이트하겠냐고 묻기도 하고 일부는 자동으로 진행한다. 업데이트하겠노라고 수락하면 내용은 잘 읽어보지 않고 예스, 예스, 수락, 수락 누르게 된다. 귀찮아서 그렇게 한다. 이렇게 '무심코 클릭'하는 심리적 허점을 노렸다고 볼 수 있다.

 

스미싱이 처음 나오던 때엔 이로 인한 피해가 주로 소액결제 사기에 집중됐다. 휴대전화로 소액결제하게 되면 통상 자신의 휴대전화가 맞는지 알기 위해 해당 결제 사이트에서 인증번호를 휴대전화로 보낸다. 이를 다시 입력해야 하는데 악성코드를 깔아 이 인증번호를 가로채는 거다. 소액결제인 만큼 30만 원 정도로 한도가 정해져 있어 피해금액 자체는 그렇게 크진 않았다. 그런 만큼 많은 사람에게 무차별 살포해 많이 낚는 방식이 사용됐다.

조금 지나서는 이 수법이 어느 정도 알려졌고 이미 수집한 개인정보와 결합된 사기가 등장했다. 즉, 누군가의 휴대전화 연락처를 빼낸 뒤 여기 있는 연락처 정보로 스미싱 문자를 보내는 방식이다. 지인이 보낸 문자니 의심 없이 클릭하는 이들이 있었을 것이다. 또는 소액결제 한도가 어느 정도인지 확인해 될 만한 사람을 특정해 스미싱 문자를 보내는 방식도 나왔다. 이런 식으로 조금씩 스미싱도 진화해갔다.

 

휴대전화로 금융기관 보안카드를 찍어 보관하는 경우도 있어 이런 사진을 빼내는 방식, 서로의 알몸을 보여주는 음란 채팅으로 유도한 뒤 피해자의 누드 영상을 촬영해 이 영상을 휴대전화에 있는 연락처로 보내겠다고 협박해 돈을 뜯어내는 이른바 '몸캠' 사기까지 등장했다. 협박, 공갈을 통해 금품을 뺏는, 전통적인 범죄와 스미싱이 결합한 방식이다. 

범죄자도 전통 방식을 답습하기보다는 새로운 방식을 계속 찾아낸다. 노력하고 혁신한다! 

이런 진화하는 사기에 당하지 않으려면... 귀찮더라도 확인하고 살펴보는 습관을 가질 수밖에 없다. 

다음은 경찰청 사이버테러대응센터에서 제공한 스미싱 피해 예방수칙이다. 뻔한 내용이더라도 일독을 권한다. (내가 만난 피해자 열이면 열 모두 "설마 나한테 이런 일이 일어날 줄 몰랐다"고 말했다.)

① (링크 클릭주의) 출처가 미확인 문자메시지의 링크주소(숫자열 포함) 클릭 주의

   * 지인에게서 온 문자도 인터넷주소가 포함된 경우 클릭 前 확인

② (스마트폰 보안설정 강화) 알 수 없는 출처의 앱 설치 제한

   * 설정방법 : 환경설정 > 보안 > 디바이스 관리 > ‘알 수 없는 출처’에 V체크 해제

③ (백신프로그램 설치) 업데이트 및 실시간 감시상태 유지

   * (스미싱 방지앱 설치) 이통사․보안업체 제공

④ (소액결제 차단·제한) 자신의 스마트폰으로 114를 눌러 상담원과 연결

⑤ (금융정보 입력제한) 보안승급 명목으로 요구하는 보안카드번호 입력 금지

   * 스마트폰 등 정보저장장치에 보안카드 사진․비밀번호 등 저장 금지

⑥ (전자금융사기 예방서비스 가입) 공인인증서 PC지정 등(금융위 주관)