모바일 청첩장과 부고장 가장한 스미싱 수법 확산
악성 링크 클릭하도록 유도…사용자 모르게 결제 진행
출처 불분명한 URL은 절대 클릭하지 말고 즉시 삭제
#[청첩장] 모바일 청첩장: 저의 결혼식에 초대합니다. 결혼식 일시 : 4/08(토) 많이 와주세요.
#[부고장] 아버님께서 금일 아침에 별세하셨기에 삼가 알려드립니다.
최근 모바일 청첩장·부고장을 사칭한 스미싱(문자 피싱)이 기승을 부리고 있어 보안 업계가 각별한 주의를 당부하고 있다. 이 스미싱은 지인 또는 그 가족을 사칭해 부고나 청첩장 인터넷주소(URL)를 담은 문자를 보내는 형태인데, 사용자가 이를 클릭하면 악성앱이 설치돼 개인정보 탈취와 소액결제 피해로 이어질 수 있다.
보안 전문가들은 출처 불명 URL 클릭을 피하고, 악성 앱 설치 시 모바일 백신으로 삭제할 것을 권장하고 있다. 또 피싱 의심 메시지를 받았을 때는 발신 번호를 확인하고 의심스러운 경우 번거롭더라도 본인에게 직접 문의하는 것이 좋다고 조언한다.
한국인터넷진흥원(KISA)에 따르면 국내 스미싱(문자 피싱)탐지건 수는 올 상반기에만 88만7859건을 기록해 지난해 연간 탐지수를 이미 초과했다.
◆악성앱 설치되면 좀비폰 전락…지인들에 스미싱 재유포로 이어져
8일 보안업계에 따르면, 청첩장·부고장을 사칭하는 스미싱 범죄가 유행하고 있다. 휴대전화 사용자의 지인을 사칭하거나, 지인의 가족을 사칭해 결혼 또는 부고 소식을 알리는 내용으로 위장했다.
일례로 ‘저희 결혼식에 초대합니다~ 꼭 참석하시길 바랍니다’ ‘[모바일] 청첩장 시간 7·8(토)AM 11:00 결혼식에 오세요’ 또는 ‘[부고]모친님께서 오늘 별세하였기에 삼가 알려드립니다’ ‘남편께서 어제 오후3시경 교통사고로 돌아가셨기에 삼가알려드립니다’ 등과 같은 내용을 담고 있다.
이러한 스미싱에는 URL이 포함돼 있는데, 이 주소를 클릭해야 모바일 청첩장이나 결혼식장·장례식장 위치를 확인할 수 있는 것처럼 보인다.
무심코 해당 URL을 클릭하면 악성사이트로 연결해 개인정보를 요구하거나, 악성앱을 설치하도록 유도한다. 특히 악성앱이 설치되면 피해자의 스마트폰은 그야말로 좀비폰이 된다. 기기 정보(IMEI)부터 공동인증서, 주소록 등의 민감한 정보가 유출될 수 있으며, 금융정보까지 탈취당할 위험이 크다. 또 휴대전화 주소록에 저장된 사람들에게 감염 휴대폰 번호로 부고 스미싱 문자를 재전송하는 등 주변인들의 추가 피해를 발생할 수 있다.
◆문자 내 출처 불분명한 URL 클릭은 반드시 조심 또 조심
보안 전문가들은 이러한 스미싱에 당하지 않기 위해 출처가 불분명한 URL은 절대 클릭하지 말고, 즉시 삭제해야 한다고 조언한다. 또 의심스러운 메시지를 받았을 때는 발신자의 전화번호를 확인하고 해당 지인에게 직접 연락해 사실 여부를 확인하는 것이 중요하다.
만약 문자메시지에 포함된 URL을 클릭해 악성앱을 설치했다면, 모바일 백신으로 앱을 삭제하거나 수동으로 제거해야 한다. 또 스미싱 문자 재발송을 위해 번호가 도용될 수 있으므로 이동통신사별 부가서비스 항목에서 무료로 신청가능한 ‘번호도용 문자 차단 서비스’를 신청해 번호가 도용되지 않도록 차단할 수 있다.
감염된 스마트폰을 통해 금융서비스를 이용했을 경우에는 공인인증서와 보안카드를 재발급받고, 금융 정보가 유출됐을 가능성에 대비해야 한다. 동시에 스마트폰에 설치된 악성앱이 주소록을 조회해 다른 사람에게 유사한 내용의 스미싱을 발송하는 등 2차 피해가 발생할 수 있으므로 주변 지인에게 스미싱 피해 사실을 알려야 한다.
이스트시큐리티 ESRC(시큐리티대응센터) 관계자는 “문자 메세지 내 첨부돼 있는 링크의 클릭을 지양하시기 바라며, 링크를 통해 내려오는 악성 앱 설치 파일(apk) 설치 혹은 링크를 통해 접근한 피싱 페이지에서 개인정보를 입력하지 마시기 바란다”고 당부했다.
댓글 0