컨텐츠 바로가기

03.29 (금)

'나 몰래 돈 빼가는' 스미싱…예방 및 대응 요령은?

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
(서울=뉴스1) 박창욱 기자 = 스마트폰 보급 증가와 함께 늘어난 대표적인 신종범죄가 바로 '스미싱이다. 스미싱은 '문자메시지'(SMS)와 '피싱'(Phishing)의 합성어다. '무료쿠폰 제공'을 비롯해 '돌잔치 초대장', '택배 확인', '기관 사칭' 등 다양한 내용으로 위장한 문자메시지에 포함돼 있는 인터넷주소를 클릭하면 악성코드를 담은 악성앱이 설치된다.

이를 통해 피해자도 모르는 사이에 소액결제 피해가 발생하거나 또는 개인·금융정보를 탈취하는 범죄수법이다. 안랩에 따르면 안드로이드 기반 스마트폰 사용자를 노리는 '스미싱'(smishing) 문자가 올해 1~2월 두 달 동안에만 총 2만3794건이나 수집됐을 정도로 기승을 부리고 있다.

인터넷진흥원(원장 백기승)은 이에 스미싱으로 인한 국민들의 피해를 예방하고자 ‘스미싱 예방 및 대응 가이드’를 최근 발간했다. 이 가이드에는 스마트폰 안전 관리법과 스미싱 피해예방법 및 피해발생 시 대응절차 등을 담았다.

◇스미싱 예방위한 스마트폰 안전 관리 수칙 6가지

인터넷진흥원은 평소 스마트폰을 안전하게 관리하기 위한 수칙으로 Δ스마트폰 권한 임의변경 금지 Δ‘알 수 없는 출처(미인증) 앱 설치’ 기능 해제 Δ스미싱 차단앱 설치 Δ모바일 백신 설치 Δ안드로이드 운영체제 최신 업데이트 Δ보호되지 않는 무선 공유기(WiFi) 사용 금지 등을 제시했다.

대부분의 안드로이드 스마트폰은 사용자에게 모든 파일과 프로그램에 접근할 수 있는 ‘최고 관리자 권한’을 부여하지 않는다. ‘최고 관리자 권한’이 없는 일반 사용자는 스마트폰 파일, 설정에 제한을 받는다. 그러나 일부 사용자들은 비정상적인 방법으로 ‘최고 관리자 권한’을 획득하는 이른바 ‘루팅’을 하기도 한다. ‘최고 관리자 권한’을 획득하게 되면 기본 탑재된 애플리케이션의 삭제, 스마트폰 디자인 변경 등 임의로 스마트폰을 변화시킬 수 있다.

하지만 충분한 지식이 없이 관리자 권한을 획득할 경우, 기기에 심각한 문제가 발생할 수 있다. 또, 루팅 된 스마트폰이 악성코드에 감염되면 권한에 따라 자료 조회, 조작이 가능하여 루팅한 스마트폰은 보안상으로 더 많은 위협에 노출된다. 스마트폰 권한을 절대 임의변경해선 안 된다.

뉴스1

이하 자료 -인터넷진흥원 © News1


아울러 출처가 불분명한 'APK'(안드로이드앱 설치파일)가 다운로드 되어 앱이 설치되는 것을 방지하기 위해서는 스마트폰 환경설정에서 ‘알 수 없는 출처 앱 설치’ 기능을 해제해야 한다. 스마트폰 ‘환경설정’의 ‘보안’ 탭에서 해당 기능 체크를 풀면 된다. 이를 통해 공식 앱 마켓인 ‘플레이 스토어’, ‘통신사 스토어’ 외의 방법으로 앱이 설치되는 것을 방지할 수 있다. 설정을 해제하게 되면 경고창으로 위험을 안내받을 수 있다.

‘스미싱 차단앱’을 설치하면 스미싱으로 의심되는 문자메시지를 사전에 차단할 수 있다. 스미싱 차단앱은 문자메시지에 포함된 인터넷주소(URL)를 분석하여 스미싱 악용 여부 및 악성 APK 파일의 포함 유무를 점검, 사용자에게 정보를 제공하고 스미싱을 사전에 차단하는 서비스를 제공한다.

또 모바일 백신이나 스마트폰 점검 앱 등을 설치하여 스마트폰의 보안 상태를 주기적으로 점검하고, 설치된 앱에 악성 코드가 포함되었는지 사전에 확인해야 한다. 모바일 백신의 ‘실시간 감시’ 기능을 이용해 새로운 앱을 설치할 때마다 보안 상태를 점검하여 스마트폰에 악성앱이 설치 되지 않도록 하면 좋다.

스마트폰 제조사에서는 운영체제의 취약점, 오류 등을 지속적으로 개선하여 수정 버전을 배포하고 있다. 스마트폰 운영체제를 항상 최신 버전으로 업데이트하여 보안 취약점이 없도록 관리해야 한다.

암호 설정이 되어 있지 않는 와이파이(WiFi)는 사용하지 않는 것이 좋다. 공공장소, 식당, 카페, 도서관 등에서 사용자 편의를 위해 무료로 제공하는 와이파이를 사용할 때 각별히 주의해야 한다. 보안 설정이 되어 있지 않은 무선 공유기를 사용할 경우 스마트폰이 감시당하거나 각종 사이버 위협에 노출될 수 있다.

◇의심스러운 문자메시지 어떻게 알아볼까

해커는 SMS 내 인터넷주소를 클릭을 유도하기 위해 지인, 택배, 공공 기관 등을 사용자들이 관심 있어 하는 것을 사칭한다. 국제적 행사, 각종 사건 사고, 이벤트 등 사회적 이슈를 활용하여 스미싱을 유포하기도 한다.

일단 출처가 불분명한 전화번호로 발송된 문자메시지는 의심하고 볼 필요가 있다. 또 결혼식, 공공기관, 택배, 사회적 이슈 등을 포함하는 문자메시지도 일단 다시 살펴야 한다. 공공기관의 경우 'go.kr, or.kr, kr'로 끝나는 경우가 대부분이므로 'com, co.kr' 등으로 끝날 경우 각별한 주의해야 한다. SMS 문구 사이에 의미 없는 알파벳이나 숫자, 문구 등이 포함된 경우도 조심해야 한다.

수신한 문자가 이러한 내용에 해당된다면 인터넷주소를 클릭하기 전에 스미싱을 의심해야 한다. 특히 인터넷주소(URL)에서 연결된 사이트에서 전화번호 등 사용자의 개인정보를 입력하도록 요구한다면 정보를 입력하지 말고 해당 사이트를 즉시 종료해야 한다.

스미싱으로 의심되는 문자메시지를 수신하였을 경우 인터넷진흥원(☎118)으로 신고하고, 해당 문자메시지는 즉시 삭제해야 한다. 직접 악성앱 삭제가 어려울 경우 스마트폰 데이터를 다른 보관 장소에 안전하게 저장한 후 가까운 서비스센터를 방문하여 스마트폰 포맷 및 초기화를 진행해야 한다.

공식 앱 마켓에서 설치한 앱이라도 사용자들의 정보수집을 위해 과도한 정보를 요구하는 경우가 있기 때문에 요구하는 접근 권한을 확인하고 설치를 진행해야 한다. 예를 들어 게임 앱이 통화 내역, 문자 및 통화 기능, 저장소 조회 등 필요 이상의 권한을 요구하는 경우 악성앱을 의심할 수 있다.

뉴스1

© News1


◇스미싱 예방위한 이통사 서비스 어떤 게 있나

이동통신사에서는 스미싱 피해 예방 및 방지를 위해 다양한 부가서비스를 제공하고 있다. 해당 부가서비스들은 통신사 고객센터를 통해 무료로 가입 가능하다.

우선 ‘웹 발신 확인 서비스’가 있다. 수신된 문자메시지가 인터넷 또는 문자발신 전용프로그램 등을 이용하여 발신된 경우 ‘[Web발신]’으로 표기해 대량 발송 문자메시지임을 알려준다. 스미싱은 대량 유포를 위해 대량발송 및 웹을 통해 발송되는 경우가 있으므로 ‘[Web발신]’ 문자메시지에 인터넷주소가 포함된 경우 일단 주의할 필요가 있다.

‘번호도용 문자차단 서비스’도 유용하다. 자신의 전화번호가 스미싱이나 스팸에 도용되는 것을 방지하기 위해 평소 인터넷으로 문자를 발송하지 않는다면 자신의 전화번호로 인터넷 문자 발송 서비스를 이용하지 못하도록 ‘번호도용문자차단 서비스’에 가입할 수 있다. 웹에서 대량 발송되는 스미싱, 스팸에 도용되는 것을 방지 할 수 있으나, 자기 자신도 인터넷 문자 발송 서비스를 통해 문자를 발송할 수 없으므로 불가피한 경우엔 이 서비스를 해지해야 한다.

평소 휴대전화 소액결제 서비스를 이용하지 않는 사용자라면 ‘소액 결제 차단 서비스’에 가입하면 좋다. 굳이 소액결제 서비스를 차단하고 싶지 않다면 소액결제 한도를 조절할 수 있으므로 각자의 결제 습관에 따라 소액결제 서비스 이용 범위를 설정하는 것도 방법이다.

◇악성 앱 감염 의심될 때 행동 요령

스미싱 악성앱에 감염되면 모바일 결제 피해가 발생할 수 있다. 따라서 이동통신사에 모바일 결제 내역이 있는지 확인해야 한다. 모바일 결제 확인 방법과 피해 발생 시 대응 방법은 다음과 같다.

①통신사 고객센터를 통하여 최근 모바일 결제 내역 확인
②모바일 결제 피해가 확인되면 피해가 의심되는 스미싱 문자 캡쳐
③통신사 고객센터를 통해 스미싱 피해 신고 및 ‘소액결제확인서’ 발급

④소액결제확인서를 지참하여 관할 경찰서 사이버수사대 또는 민원실을 방문하여 사고 내역 신고
⑤사고 내역을 확인받고 ‘사건사고 사실 확인서’ 발급
⑥사건사고 사실 확인서 등 필요서류를 지참하여 통신사 고객센터 방문 또는 팩스나 전자우편 발송
⑦통신사나 결제대행 업체에 사실 및 피해 내역 확인 후 피해보상 요구

악성앱에 감염되었던 스마트폰으로 모바일 금융서비스를 이용했다면 공인인증서, 보안카드 등 금융거래에 필요한 정보가 유출되었을 가능성이 존재한다. 따라서 해당 정보를 폐기하고 재발급을 받아야 유출된 금융 정보로 인한 2차 피해가 발생하는 것을 예방할 수 있다.

스마트폰에 공인인증서가 저장되어 있지 않았더라도 보안카드 등 금융 거래에 필요한 정보를 사진첩, 메모장에 기록했다면 폐기처분하고 재발급을 받아야 한다.

해커는 악성코드에 감염된 스마트폰을 새로운 사이버 범죄 도구로 사용한다. 악성앱이 주소록을 조회하여 다른 사람에게 유사한 내용의 스미싱을 발송하는 등 2차 피해가 발생할 수 있으므로 주변 지인들에게 스미싱 피해 사실을 알려야 한다.

또 특정 악성앱에는 전화 수신 및 문자메시지 수신을 차단하는 기능을 포함하고 있어 악성앱 삭제 방법을 확인 후 삭제를 해야 추가적인 2차 피해를 예방할 수 있다.
cup@

[© 뉴스1코리아(news1.kr), 무단 전재 및 재배포 금지]
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.