[[쉿!보안노트]<34>각종 보안 위협 용어 이야기]
 |
쉿!보안노트 |
스미싱, 파밍에서 스피어피싱, 스노우 슈 스팸까지. 온라인과 휴대전화 등 통신을 활용해 지갑을 노리는 각종 금융 사기 수법들이 정교해지면서 유형별 명칭도 다양해졌다. 최근 떠오르는 신종 용어를 모았다.
우선 스피어 피싱은 불특정 대상의 개인정보를 마구잡이로 빼내는 보이스 피싱과 달리 특정 공격 대상을 정해두는 것이 특징이다. 열대지방 어민이 하는 작살 낚시인 '스피어피싱(spearfishing)'에서 빌려온 표현이다.
주로 기업 거래 담당자들 이메일을 해킹해서 확보한 거래 내역 등 정보를 금융 사기에 사용한다. 검·경찰을 사칭하는 일반 보이스피싱과 달리 거래 기업 담당자를 사칭해, 해외에 개설한 '사기계좌'로 거래 대금을 송금하도록 유도하는 것.
스피어피싱과 비슷한 스미싱도 최근 나타나고 있다. 문자메시지(SMS)에 포함된 인터넷주소(URL)를 클릭하면 택배 배송지 주소 확인, 교통범칙금 조회 등의 가짜 사이트로 연결되며 휴대폰 번호 입력을 요구하는데, 이를 통해 해커는 특정 대상자 정보와 일치하면 악성 앱을 설치하도록 유도한다.
악성 앱을 설치하면, 스마트폰 속 전화번호, 연락처 등 개인정보와 공인인증서, 보안카드 등 금융정보가 해커 손에 넘어가게 되는 방식이다. 이른바 '스피어 스미싱'인 셈이다.
무작위 광고 메시지인 '스팸'에서도 새로운 형식인 '스노우 슈 스팸'이 번지고 있다. 스노우 슈(snowshoe)는 라켓 모양 나무틀에 생가죽으로 띠가 얽혀 있어 눈 위에서 잘 걸을 수 있도록 만들어진 신발을 말한다.
이는 많은 양의 눈을 밟아도 넓은 틀에 분산돼 신발이 눈 속에 파묻히지 않는 스노우 슈처럼 대량의 IP주소에서 소량 스팸을 분산 발송해 근거지를 찾기 힘들도록 만든 스팸 기술이다. 소량의 스팸을 보내기 때문에 스팸 메일로 분류될 확률도 줄어든다.
각종 피싱과 스미싱을 예방하는 방법은 비슷하다. 유출된 개인정보를 기반으로 하기 때문에 최대한 본인 부주의로 인한 유출을 차단하는데 신경쓰는 것이 좋다.
보안전문가들은 수사 기관 사칭 전화와 SMS에는 공식 문서 발송을 요구해 명확히 상대를 확인할 것을 당부했다. 또 각종 이벤트에 응모할 때 제공하는 개인정보는 그 활용처를 정확히 파악하고, 되도록 명함을 활용한 응모는 하지 않을 것을 권한다. 명함 안에는 어떤 업무를 하는지 까지 모든 개인 정보가 담겨 있어서 스피어피싱 등에 활용될 수도 있어서다.
이밖에도 주민등록증 등 신분증을 촬영해 전송하는 일은 되도록 피해야 한다. 만약 스마트폰이 사진이나 개인정보 등을 유출하는 스미싱 악성코드에 감염된다면 유출될 가능성은 더 높아진다.
진달래 기자 aza@mt.co.kr
<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
