언제 어디서나 '온라인(Online)' 상태로 사는 세상이다. 2020년 대한민국 한 사람이 사용하는 평균 모바일 기기 수가 11개까지 증가할 것이라는 전망도 나온다. 사람도 물건도 모두 실시간으로 연결되는 삶은 편리한만큼 불안하기도 하다. 알리고 싶지 않은 나의 각종 정보들이 온라인 공간에 흘러다니고 있는 것은 아닐까. 빠른 변화 속도에 밀려 일상생활에서 간과하고 넘어가던 보안 정보를 쉽게 풀어본다.
[[쉿!보안노트]<12>내 돈 뺏어가는 모바일 도둑 '스미싱'에 대한 오해와 진실]
 |
결론부터 말하자면 URL에 접속한 것만으로는 금전적 피해로 이어지지 않는다. A씨가 이후 스마트폰에서 어떤 앱을 사용했는지 등 행동을 봐야 스미싱 피해를 입었는지 알 수 있다.
최근 스미싱 수법을 보면, 이용자가 해당 URL에 접속시 악성앱이 다운로드되도록 설계된 점이 핵심이다. 이 악성앱은 이용자 모르게 스마트폰 속에 어떤 금융앱이 설치되어있는지를 조사한다.
예를 들어 ㄱ은행 뱅킹앱이 설치된 경우 해커에게 이 사실을 전달해 해당 뱅킹앱을 해커가 만든 가짜 ,ㄱ은행 뱅킹앱으로 바꿔치기 한다. 가짜 뱅킹앱은 이용자가 감쪽같이 속도록 진짜와 비슷하게 만들어진다.
이용자가 가짜 뱅킹앱인줄 모르고 자신의 비밀번호나 보안카드 일련번호 등 주요 금융정보를 입력하면 그 정보가 고스란히 해커 손으로 넘어가게 되는 것. 결국 이 정보를 이용해 해커는 금전적인 이득을 챙기게된다.
이스트소프트에 따르면 올해 상반기 접수된 스미싱 신고건은 15만건에 이른다. 보안전문가들은 스미싱이 '사회공학적' 기법을 사용한다고 설명한다. 사회적 이슈가 발생할 때마다 관련 내용을 이용해서 악성앱이 다운로드 되는 URL에 접속하도록 유도하기 때문이다.
A씨 사례처럼 브라질월드컵 당시에는 '월드컵 대국민응원보내기' '월드컵기간 파리바게트 기프티콘 수령' '월드컵 거리응원 교통통제 미리체크 확인' 등 내용을 담은 스미싱문자가 유행했다. 세월호 사고 당시에도 영상을 볼 수 있다는 내용 스미싱이 나타나 사회적 공분을 사기도 했다.
스미싱을 예방하는 가장 기초적인 방법은 모르는 번호로 오는 SMS 속 URL에 접속하지 않는 것이다. 또 설정, 보안 메뉴에서 '알 수 없는 소스' 허용 항목을 해제해 두는 것도 도움이 된다. 이용자가 모르는 사이 엉뚱한 앱이 다운로드되는 것을 막아준다.
스미싱을 걸러주는 앱(애플리케이션)을 설치하는 것도 좋은 방법이다. 앱 '패밀리가드'는 가족끼리 원격조정이 가능한 점이 특징이다. 원격관리를 통해 실시간으로 악성코드를 감시하고 치료한다. 스미싱 뿐 아니라 스팸문자, 미확인 앱 설치 등을 막아준다.
안랩 '안전한 문자'는 문자 메시지에 포함된 URL을 자동 검사해 악성앱 포함 여부를 알려준다. 악성인 경우 안전한 문자 앱 아이콘이 노란색으로, 아닌 경우 초록색으로 표시된다. 스마트폰 전체 보안을 강화할 수 있는 '알약 안드로이드'도 스미싱을 걸러낼 수 있도록 지원한다.
만약 악성앱이 설치된 것으로 의심되지만 적절한 대처법을 모른다면 한국인터넷진흥원(KISA, 국번 없이 118)을 통해 대응 방법을 안내받을 수 있다.