스미싱 수법이 갈수록 교묘해지고 있다. 공격자는 시의적절한 이슈나 사용자가 궁금할 만한 내용으로 속여 URL을 클릭하도록 유도한다. 최근 ‘교통범칙금통지서’ 사칭 스미싱이 이러한 유형 중 하나다. 이러한 스미싱 문자 메시지를 받은 사람은 혹시나 하는 마음에 메시지에 포함된 URL을 클릭할 가능성이 크다.

URL을 클릭한 뒤 내려받은 악성 애플리케이션 설치 파일은 ‘교통민원24(이파인)’ 앱을 사칭한 아이콘까지 사용하며 사용자를 속이고 있다. 사용자가 이 아이콘에 속아 악성 설치 파일을 실행할 경우, 이를 통해 개인정보가 유출되는 것은 물론, 유출된 주소록, 업무용 계정 정보, 금융 정보 등을 악용한 2차 피해 역시 발생할 수 있다.

공격자는 사용자가 속을 만한 다양한 주제를 이용해 스미싱을 시도한다. 하지만 주제가 바뀌더라도 공격자의 목적은 크게 다르지 않으며, 궁극적으로는 URL을 클릭하도록 만든다. 이 때문에 피해를 예방하기 위해서는 문자 메시지에 포함된 URL을 함부로 누르지 않는 것이 좋으며, 부득이하게 눌러야 할 경우 메시지를 보낸 상대방이 신뢰할 수 있는 사람인지 확인해야 한다.

URL을 클릭한 뒤 나타나는 유형 중 첫 번째는 계정 탈취로, 피싱 사이트를 꾸미고 사용자가 로그인하도록 유도하는 방식이다. 이러한 피싱 사이트에 속은 사용자가 개인정보를 입력할 경우 각종 정보가 유출되는 사고가 발생할 수 있다. 이를 예방하기 위해서는 URL을 통해 접속한 사이트에 함부로 개인정보를 입력하지 말고, 주소창에 올바른 주소가 표시되는지 확인해야 한다.

두 번째는 악성 앱 설치 파일을 내려받는 유형이다. 이는 외부 경로를 통해 앱 설치가 가능한 ‘안드로이드 스마트폰’을 대상으로 주로 발생하는 유형으로, URL 클릭 시 사용자 스마트폰에는 알 수 없는 apk 파일이 저장된다. 단순 저장만으로는 크게 위협이 되지 않으며 스마트폰 기본 보안 설정에서는 외부 apk 파일을 함부로 실행할 수 없도록 차단해 크게 걱정하지 않아도 된다.

다만, 어떤 이유에서든 외부 파일을 통한 앱 설치가 필요하다면, 스마트폰 백신을 이용해 불필요하게 저장된 악성 apk 파일을 제거하는 것이 좋다. 특히, 국내 보안 기업이 제작한 모바일 백신의 경우 한국어 기반의 스미싱 및 악성 URL 등에 대응하는 데 더 나은 성능을 보이고 있으니 이를 확인하면 된다.
[제작=서울여자대학교 정보보호학과 학생회]
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>