[생활 보안 정보] 스미싱의 역습

 

 

어느덧 겨울의 끝자락이네요.
아직은 쌀쌀하지만 조금씩 상쾌해지고 있는 바람과
따뜻한 햇볕이 봄이 다가옴을 알려주는 듯 합니다.
여러분도 봄의 기운이 느껴지시나요?^^

 

봄이 다가오니 미세먼지니 황사니 불청객도 조금씩 고개를 내밀고 있습니다.
기업, 개인 정보, 시스템의 보안도 중요하지만
불청객으로 인한 우리 몸 관리에도 신경을 써야겠습니다.
건강관리에 유의하세요!

 

이번 시간에는 스마트폰 이슈의 중심인 스미싱에 대해 알아보는 시간을 갖도록 하겠습니다.

 

최근 기사들을 보면 “연말정산 환급금 신청”, “무료 쿠폰 이벤트”,
“모바일 연하장”, ”택배조회” 등을 내용으로 하는
스미싱 주의 기사를 심심치 않게 볼 수 있습니다.
사실 최근이기보다 스마트폰이 활성화되면서 시작됐다고 보면 됩니다.
 
그럼 ‘스미싱’이란 이 녀석의 정체는 무엇일까요??

 

스미싱(Smishing) - "마른 하늘에 날벼락"

 

■ 스미싱(Smishing) 정의    : 문자메시지(SMS)와 피싱(Phishing)의 합성어로,    1. ‘무료쿠폰 제공’, ‘돌잔치 초대장’, ‘모바일 청첩장’ 등을 내용으로 하는 문자메시지 내       인터넷주소 클릭 하면,    2. 악성코드가 스마트폰에 설치 되고,    3. 피해자가 모르는 사이에 소액결제 피해 발생 또는 개인· 금융정보 탈취     ■ 스미싱(Smishing) 피해유형    : 스미싱에 이용된 변종 악성코드는 소액결제 인증번호를 가로채는 것에 그치지 않음.      최근에는 피해자 스마트폰에 저장된 주소록 연락처, 사진(주민등록증 · 보안카드사본),      공인인증서, 개인정보 등까지 탈취하므로 더 큰 금융범죄로 이어질 수 있음.

(출처: 사이버경찰청 – 신종금융범죄 스미싱)

 

스미싱에 대해 이해가 되셨나요? ^^
아직 감이 잘 안 오신다고요?

 

한 마디로 스미싱은 악성 앱이 스마트폰에 설치되면서,
소액결제, 개인 정보, 금융 정보 등이 해커한테 전송되는 행위를 말합니다.
이런 신종 전자금융 사기가 매년 급증하고 있다고 합니다.

 

스미싱(Smishing) - "마른 하늘에 날벼락"

 

■ 전자금융사기 피해 현황
  

                                                                                                          (단위: 건/백만원)

	보이스피싱		파밍		스미싱		메모리해킹		총계
	건수	피해액	건수	피해액	건수	피해액	건수	피해액	건수	피해액
2009	6,720	62,100							6,720	62,100
2010	5,455	55,400							5,455	55,400
2011	8,244	101,900							8,244	101,900
2012	5,709	59,500							5,709	59,500
2013	4,749	55,300	3,218	16,424	76,356	4,807	463	2,762	84,786	79,293
2014.6	2,851	36,900	1,628	6,842	4,459	276	97	522	9,035	44,540
합계	33,728	371,100	4,846	23,266	80,815	5,083	560	3,284	119,949	402,733

(출처: 새정치민주연합 최민희 의원 브리핑 자료)       
 
최근 보이스피싱 피해는 해마다 줄고 있는 반면,
신종 전자금융 사기인 스미싱은 2013년 한 해만 7만 6천여 건의 피해가 발생했으며,
많은 금전적인 손실이 있었습니다.

 

특히, 2013년 전자금융 사기 중 스미싱 건 수가 가장 많다고 합니다.

 

이런 피해들은 유독 안드로이드 OS에서 많이 발생하고 있는데,
그렇다면 안드로이드 OS는 왜 보안에 취약한 걸까요?

 

안드로이드 OS가 취약한 이유 - "옥의 티"

 

 

요즘 소프트웨어 개발에서 오픈 소스를 빼놓고는 이야기를 할 수가 없습니다.
오픈 소스는 “소프트웨어의 소스를 공개하는 행위”를 일컫는 말인데요.
이처럼 오픈 소스는 독점 소프트웨어와 달리 누구나 개발에 참여할 수 있습니다.

 

안드로이드 OS는 리눅스 기반의 오픈 소스 운영체제입니다.
개방성이 높기 때문에 여러 개발자들에 의해 개발되고, 발전되기는 좋으나 그만큼 많은 위험에

노출되기도 쉽습니다.
또한 설치 파일을 공식 마켓이 아닌 곳에서 다운로드 해서 설치할 수 있기 때문에
더욱 위험성이 높다고 볼 수 있습니다.

 

피해를 예방하기 위해서는 공신력 있는 마켓에서 앱을 다운로드하며,
설치 전 앱 사용 권한을 체크하는 습관을 가져야 합니다.
그리고 사용자 리뷰도 꼼꼼하게 확인해야 합니다.
 
그럼 사용자를 유혹하는 스미싱 문자 유형에는 어떤 것들이 있는지 알아보겠습니다.

 

(출처: KSIA 불법 스팸 대응센터)

 

위의 문자는 KSIA 불법 스팸 대응 센터에 실제 접수된 스미싱 문자들 입니다.
혹시 여러분도 이런 문자들을 받아 본 적이 있으신가요?

 

애인의 달콤한 연애 문자였다면 의심 없이 클릭해 보시겠죠? ㅎㅎ
하지만 내용을 보면 우리 일상생활에서 발생하는 내용이 대부분입니다.
해당 내용과 비슷한 문자를 받게 된다면 뒤도 돌아보지 말고 즉시! 삭제하세요.

 

본인은 조심할지라도 누군가 내 스마트폰을 만지다가 무심코 혹은

호기심으로 클릭할 수도 있으니까요~
그리고 정 클릭하고 싶으면 전화로 선 확인 뒤 클릭하세요.
오랜만에 지인 목소리도 듣고 예방도 하고 일석이조의 효과가 아닐까 생각합니다.

 

자 그럼 스미싱은 어떤 방식으로 동작하는지 알아볼까요?

 

스미싱 앱 재구성 및 동작 시연 - "서당 개 삼년에 풍월을 읊는다"

 

실제 스미싱에 사용된 악성 앱을 분석해서 가짜 맥도날드 무료 쿠폰 앱을 만들어 보았습니다.
앱 실행 시 상단에 무료 쿠폰 다운로드하기 버튼과 하단에 맥도날드 홈페이지가 출력됩니다.
무료 쿠폰 다운로드하기 버튼 클릭 시 시스템 오류 메시지를 출력합니다.

 

즉, 이 앱은 아무런 기능이 없는 껍데기입니다.

 

 

그럼 이 악성 앱의 속살은 어떨까요? 살짝 들여다보겠습니다.
 
악성 앱이 실행되면 Service를 생성합니다.
Service를 생성하면 백 그라운드에서 기능을 수행할 수 있습니다.
또한 앱이 활성 상태가 아닌 경우에도 계속 기능을 수행할 수 있습니다.
그리고 BroadcastReceiver를 통해 SMS RECEIVED 이벤트를 받고 있습니다.
SMS RECEIVED 이벤트 발생 시 수신자, 송신자 전화번호, 문자 내용을 추출하여
현재 날짜와 조합하여 메일로 전송하는 기능을 수행합니다.

 

 

쉽게 설명하자면, 주인 몰래 탁자 밑에 숨어있다가 원하는 물건이 탁자 위에 놓이면
훔쳐 가는 행위라고 보면 됩니다.

 

어떠세요? 기능을 보면 안드로이드의 일반적인 기능 인데요.
이런 일반적인 기능을 어떻게 사용하냐에 따라 좋은 앱이 될 수도 있고
악성 앱이 될 수 있습니다.
참고로, 위의 방법은 가장 기본적은 스미싱 기법 입니다.
 
여기서, 메일로 전송된 내용을 확인해 보겠습니다.

 

 

실제 은행의 인증문자와, 웹의 인증 및 결제 문자가 온 것을 확인할 수 있습니다.
 
소액결제 테스트를 위해 마켓에서 테스트를 하다가 실수로 원하지 않는 결제를 하는
해프닝도 있었습니다. ^^;; (다행히 환불 받았습니다.)

 

스미싱의 진화 - "갈수록 태산"

 

스미싱은 단순 소액결제 피해에서, 개인 정보, 금융 정보 유출 등 지속적으로 진화하여
스마트폰 사용자들을 부단히 괴롭히고 있습니다.

 

“지피지기면 백전백승”이라고 했습니다.
스미싱은 과연 어떤 형태로 진화했는지 그 유형을 살펴 보겠습니다.

 

■ 스미싱 문자내용 변화(주요 사례)    1. 무료•할인쿠폰(공짜심리, ’12. 12月)    2. 복지로(정부정책, ’13. 2月)    3. 모바일 돌잔치•청첩장(경조사문화, 5•8月)    4. 국정원 내란음모 소환서 발부(불안감)    5. 경찰 출석요구서(공공기관 사칭)    6. 독도는 우리땅(애국심 이용)    7. 교통범칙금 조회(공공기관 사칭)    8. 건강보험공단 무료 암 검진(복지정책 도용, 이상 10月)    9. 카드대금 조회(편의성, 11월) 등

 

■ 스마트폰 링크 주소(문자메시지에 포함된 인터넷 주소)의 변천    1. 포털社 단축URL(http://goo.gl/, http://me2.do/)    2. 무료 도메인사이트(http://oa.to/, http://co1.kr/)    3. 확장URL(**.kr, **.net, **.com)    ※ 최근에는 우리에게 친숙한 인터넷주소(위 3번)가 주로 이용, 클릭 유도

 

 

■ 스미싱 문자 내 수신자(피해자)의 개인정보 표기    (문자 내용) OOO씨 이번 주 결혼식 꼭 오셔서 축하해주세요.     모바일 간단보기 XXX.XXXXX.com/xjpp.apk’     : (특징) 문자에 명시된 이름이 수신자 성명과 정확히 일치, 지인이 발송한 것으로       착각 유발, 클릭 유도

 

■ 신·변종 수법으로 악성코드(스미싱 주요수단) 진화    최근에는 ‘휴대전화 소액결제 유도’가 아닌 ‘가짜 앱’ 설치를 통한 개인 금융정보를 탈취하고      그 정보를 이용한 피해자 예금 인출방식으로 스미싱이 진화

 

위에 내용을 보면 아시겠지만, 스미싱은 다양한 내용과 방법으로 우리 실 생활 속에
녹아 들고 있습니다. 알고도 당한다는 말이 이해가 되시죠?!
 
그럼 우린 이런 스미싱 범죄를 어떻게 예방할 수 있을까요?

  

스미싱의 예방수칙 - "천 리 길도 한 걸음부터"

■ 스미싱 예방 수칙    1. (링크 클릭주의) 출처가 미확인 문자메시지의 링크주소(숫자열 포함) 클릭주의         : 지인에게서 온 문자도 인터넷주소가 포함된 경우 클릭 前 확인       2. (스마트폰 보안설정 강화) 알 수 없는 출처의 앱 설치 제한         : (안드로이드)설정방법      - 환경설정 > 보안 > 디바이스 관리 > ‘알 수 없는 출처’에 V체크 해제     3. (백신프로그램 설치) 업데이트 및 실시간 감시상태 유지     : (스미싱 방지앱 설치) 이통사․보안업체 제공      - 통신사: SKT ‘T가드’, KT ‘스미싱 차단’, LGU+ ‘고객센터 2.0’      - 보안업체: 이스트소프트 ‘알약 모바일’, 하우리 ‘Smishing Defender’,                       잉카인터넷 ‘뭐야 이 문자’, 안랩 ‘안전한 문자’등 다수      - 한국인터넷진흥원 (KISA): ‘폰키퍼’     4. (소액결제 차단•제한) 자신의 스마트폰으로 114를 눌러 상담원과 연결     5. (금융정보 입력제한) 보안승급 명목으로 요구하는 보안카드번호 입력 금지 : 스마트폰 등 정보저장장치에 보안카드 사진․비밀번호 등 저장 금지 6. (전자금융사기 예방서비스 가입) 공인인증서 PC지정 등(금융위 주관)

(출처: 경찰청 브리핑, 스미싱의 다양한 수법진화, 이것만은 기억하세요, 2013. 11)

 

악성 앱을 배포하여 사용자에게 피해를 주는 행위는 분명 나쁜 행위지만

본인 스스로 예방법을 통해 피해를 최소화 해야 합니다.

 

여러분은 어떤 유형의 스마트폰 사용자입니까?
“아는 길도 물어가라” VS “소 잃고 외양간 고친다”
남을 탓하기 보다 먼저 보안을 실천하는 지킴이가 되는 건 어떨까요?