안랩, 올해 스미싱 주요 사례·피해 예방법 소개 수신자 당황시키는 공공 서비스·SNS·투자 사칭 많아 ‘계정 정지’ ‘배송 실패’ 등 단어로 패닉 유도
ⓒ뉴시스
스마트폰이 일상생활에서 필수적인 기기로 자리잡으면서, 이를 악용한 모바일 악성 범죄가 지속적으로 증가하고 있다.
이 중에서도 스미싱(Smishing)은 문자 메시지를 이용해 피싱 페이지나 악성 앱 다운로드 링크(URL)를 유포하며, 개인정보 탈취, 인증 남용, 섹스토션(Sextortion) 등 다양한 범죄의 주요 수단으로 부상하고 있다.
올 한 해에도 공공기관 사칭, 소셜미디어(SNS) 플랫폼 사칭, 투자관련 사칭, 경조사 사칭, 성적 만남 사칭 등의 스미싱이 대거 적발됐다. 공격자는 ‘계정 정지’ ‘배송 실패’ 등과 같은 단어를 활용해 수신자를 당황시켜 악성 앱 설치 등을 수행하게 했다. 악성 앱을 통해서는 계정 탈취, 피해자 모니터링 스미싱 메시지 재유포 등 다양한 기술적 범죄를 시도했다.
안랩이 최근 공개한 올 한 해 수집된 스미싱 메시지 주요 사례에 따르면, 스미싱 중에서도 보편적으로 알려진 공공기관이나 정부를 사칭한 사례가 가장 많았다.
건강보험공단, 우체국 등 신뢰할 수 있는 기관명을 사칭하면서 ‘미납 고지’, ‘배송 실패’와 같은 내용을 담아 피해자가 링크를 클릭하도록 유도한다.
특히 건강보험공단이나 정부 사칭 메시지는 악성 앱 설치를 유도하는 경우가 많았고, 우체국 사칭의 경우엔 미배송 또는 해외 배송을 가장한 가짜 우체국 페이지를 통해 개인정보 탈취를 시도했다.
SNS 계정을 겨냥한 스미싱도 점점 증가하고 있다.
◆ 코인·주식 스미싱 대상은 젊은층·부고장 스미싱은 중장년층 노려
코인이나 주식 투자를 명목으로 클릭을 유도하는 스미싱은 주로 젊은 층을 대상으로 했다.
이런 투자 사기에는 관련 기업의 고객센터 직원이나 참여자 사칭(일명 바람잡이) 등의 인력이 투입됐으며, SNS와 기업용 상담 플랫폼 등을 적극적으로 활용했다.
최근에는 메시지만 유포할 경우 피해자가 경계심을 가지게 되므로, 전략을 변경해 실수를 통한 우연한 만남이나 SNS에서 공격자가 유포한 게시글에 ‘좋아요’ 등을 계기로 메신저 앱을 통해 친분을 쌓았다.
경조사 메시지를 가장한 스미싱은 중장년층을 타깃으로 했다.
메시지 내용에는 구체적인 지인 또는 가족의 이름이 포함될 수 있으며, 자극적인 내용을 포함해 즉각적인 클릭을 유도했다. 클릭 시 악성 앱이 설치되며, 이는 SMS를 가로채거나 추가적인 스미싱 메시지를 유포한다.
이 외에, 메시지나 SNS를 통해 성적 만남을 제안하는 수법도 널리 사용되고 있다.
피해자와의 친밀한 대화를 통해 신뢰를 쌓은 후 악성 앱 설치를 유도하거나 금전을 요구하는 유형이다. 공격자는 ‘익명으로 대화를 원한다’며 메시지를 보내거나 음란한 대화를 통해 앱 설치를 유도한다.
◆스미싱 사례 인지해 둬야…URL 클릭은 무조건 ‘주의’
스미싱 피해를 예방하기 위해서는 ▲플랫폼 계정 OTP 및 다단계인증(MFA) 활성화 ▲대중적인 브랜드 앱 사용 ▲ 공식 앱 마켓을 통한 앱 설치 ▲ 메시지를 통한 URL 접속 금지▲백신 앱 설치 및 최신 버전 업데이트 등을 기억해야 한다.
우선, 사용자들은 이 같은 스미싱 사례를 인지하고, 출처가 불분명한 메시지나 링크를 클릭하지 않아야 한다.
아울러 웹 사이트를 통한 불확실한 앱은 설치하지 않은 것이 좋다. 앱 다운로드 시 반드시 구글 플레이 스토어나 갤럭시 스토어와 같은 공식 마켓을 사용해야 한다.
마켓 내에서도 신뢰할 수 있는 브랜드 앱 사용을 권장하며, 브랜드 앱이 아닐 경우 다운로드 수와 사용자 리뷰를 확인해 앱의 신뢰성을 검증할 필요가 있다.
안랩은 “다크웹을 통해 유통되는 새로운 보호 솔루션을 활용해 단말기 내 기본 보안 서비스나 백신 앱 탐지를 회피하려는 시도가 증가하고 있다”면서 “이에 대응하기 위해 국내 백신 회사는 지속적으로 모니터링 및 개선된 진단 방법을 적용하고 있다. 따라서 사용자들은 백신 앱 설치 및 최신 버전 업데이트가 필수”라고 당부했다.
[서울=뉴시스]