[뉴스 클립] 뉴스 인 뉴스＜234＞스미싱·피싱 예방법

메시지에 첨부된 URL 접속?앱 설치 절대 안돼요

채승기 기자

신용카드 정보 유출사태로 많이들 놀라셨죠? 그뿐만이 아닙니다. 휴대전화 문자메시지(SMS)에 악성코드를 심어 개인·금융정보를 빼가는 ‘스미싱(SMS+Phishing의 합성어)과 전화·e메일 등을 통해 정보를 캐내는 ‘피싱’이 기승을 부리고 있습니다. 이에 따라 경찰과 보안업체의 대응도 고도화되고 있습니다. 악성코드와 대응기술의 변천사를 알아보고 피해를 예방할 수 있는 방법들을 소개합니다.

지난해 1~10월 경찰청에 접수된 스미싱 피해만 2만8469건, 피해 금액은 54억5300만원에 달한다. 사기꾼들의 수법이 날로 교묘해져 스마트 기기에 능숙한 젊은 층도 눈 깜짝할 사이에 속아 넘어가기 십상이다. 실제로 보안전문업체인 시만텍이 전 세계 사이버 범죄의 피해 규모와 특징을 분석해 발표한 ‘2013 노턴 보고서’에 따르면 18~34세의 ‘밀레니엄세대’가 45~64세의 ‘베이비부머’보다 사이버범죄의 피해자가 될 가능성이 더 컸다.

# 악성코드 VS 백신기술 30년 전쟁

컴퓨터가 일상생활에 등장한 이후 건전한 사용을 교란하는 악성코드와 이를 방어하는 백신기술 간의 전쟁이 시작됐다. 서막은 파키스탄에서 올랐다. 1986년 9월 파키스탄의 프로그래머 형제가 PC용 바이러스 ‘브레인(Brain)’을 제작해 유포했다. 브레인은 당시 가장 많이 보급됐던 운영체제 MS-DOS에서 실행되는 바이러스였다. 컴퓨터 내의 파일 이름을 무작위로 바꿔 프로그램을 마비시켰다. MS-DOS를 타고 전 세계로 빠르게 확산됐다. 이를 제압한 백신 프로그램에는 ‘문자열(String) 진단기술’과 ‘해시(Hash) 값 진단기술’이 쓰였다. 모두 ‘시그니처 기반 기술’이다. 악성코드를 식별하는 가장 일반적 방식이다. 백신 프로그램으로 PC 내 파일을 스캔해 백신 프로그램에 등록된 바이러스 진단 값(바이러스의 고유한 패턴)과 일치하면 치료하는 방식이다. 문자열 진단 기술은 프로그램을 구성하는 코드 중 문자열을 단순 비교해 특정 바이러스에만 존재하는 문자열을 찾아내 악성코드 여부를 판명하는 기술이었다. 해시 값 진단기술은 해시 값이 바뀔 때마다 경고메시지가 뜨는 형태로 악성코드를 탐지했다. 해시 값은 파일이 갖고 있는 고유 지문 같은 것으로, 파일 이름을 변경해도 변하지 않는다. 하지만 너무 많은 경고메시지가 뜨게 되면서 보안을 잘 모르는 대다수의 사람이 이를 무시하는 일이 많아졌다. 차츰 ‘트로이목마’ 등 더 교묘한 악성코드가 늘면서 진단에 어려움을 겪게 됐다.

90년대 들어 공격과 방어의 전쟁은 격화됐다. 95년 마이크로소프트(MS)의 운영체제 윈도95가 대중화되면서 악성코드의 활동영역은 오피스 문서, 윈도 등으로 확대됐다. 인터넷 보급 속도도 빨라져 e메일이 악성코드의 전파 통로가 되기도 했다. 신·변종 악성코드가 속속 출현했다. 대응기술도 발전했는데 ‘휴리스틱 기술’ 이 대표적이다. 원본 파일의 일부만 변경돼도 전혀 다른 파일로 인식하는 프로그램의 한계를 극복한 기술이다. 특정 코드의 행위 방식이 이미 알려진 악성코드의 행위 방식과 얼마나 유사한지를 분석, 알려지지 않은 악성코드를 탐지해 낸다. 하지만 오진이나 과다 탐지 등의 문제가 발생했다.

2000년대에는 파일 단위가 아닌, 네트워크 단위에서 악성코드 여부를 검사하는 네트워크 검사 기술이 개발됐다. 백신 프로그램에도 방화벽 기능이 탑재되기 시작했다. 악성코드에도 새 장이 열렸다. 금전적 목적의 악성코드가 늘어나기 시작한 것이다. 예전에는 해커들이 자신의 실력을 과시하기 위해 악성코드를 배포했다면 이제는 돈을 노리고 악성코드를 만들어 배포하기 시작했다. 최근 기승을 부리는 스미싱·피싱 등의 원조라고 할 수 있다.

여기에 e메일이나 소셜네트워크서비스(SNS) 등의 발달로 악성코드가 퍼질 수 있는 통로는 더욱 많아졌다. 이런 트렌드에 대응하기 위해 백신 개발업체들도 새로운 탐지기법을 속속 내놓았다. 악성코드를 사용자의 PC가 아닌 가상공간에서 실행하고 위험 유무를 확인하는 ‘행동기반 탐지기술’, 클라우드 기술을 이용해 악성코드 여부를 서버상에서 판단해주는 ‘클라우드 기반 탐지 기술’, 파일에 대한 사용자 수와 제작일 등의 평판을 기반으로 하는 ‘평판 기반 기술’ 등이다.

# 피해 줄이려면 ‘설치 경로’ 파악해야

전문가들은 스미싱 피해를 줄이려면 스미싱을 유도하는 악성코드 설치 경로를 우선 파악해야 한다고 설명한다. 보안솔루션업체 안랩에 따르면 악성코드의 설치 경로는 크게 두 가지다. 첫 번째는 사용자가 스미싱 메시지에 첨부돼 있는 인터넷 주소(URL)에 접속해 해당 앱의 설치파일(apk)을 내려받는 경우다. ‘요금 청구서 확인’ 등의 문자를 보내고 하단에 적힌 URL로 사용자의 접속을 유도하는 식이다. 하지만 해당 앱의 설치파일을 받는다고 해서 곧바로 악성코드에 감염되지는 않는다. 사용자가 설치파일을 다운로드한 뒤 ‘설치하겠습니까?’라는 안내창에서 ‘설치’ 버튼을 눌러야 감염된다. 다만 스마트폰을 강제로 루팅(Rooting·제조사가 출고 시 설정한 단말기의 각종 기능을 해킹을 통해 바꾸는 것)하는 경우엔 스마트폰 내 안전장치가 풀려 사용자가 모르는 사이에 악성코드가 설치될 수도 있다. 가장 확실한 예방법은 SMS나 SNS 등을 통해 받은 URL을 실행하지 않는 것이다. 대부분의 공공기관은 문자에 URL을 포함하지 않는다.

두 번째 경로는 구글 플레이스토어나 애플 앱스토어에 악성코드가 직접 연결돼 있는 경우다. 안랩 측은 “흔치 않은 경우이긴 하지만 구글플레이스토어에 악성 앱이 올라온 사례가 있었다”고 했다. 이를 막기 위해서는 앱 설치 전에 앱 게시자의 평판 등을 꼼꼼히 확인해야 한다. 이 밖에 일부 금융 관련 앱을 설치할 경우 해당 앱을 지우고 다시 설치하라는 메시지가 뜨는 스미싱 기법이 있다. 이때 ‘알 수 없는 소스(출처)의 허용 금지를 해제하라’는 권고가 뜨더라도 절대 따라서는 안 된다. 만약 이렇게 재설치된 금융 앱을 실행해 금융정보를 입력하면 그 정보는 고스란히 해커의 손에 넘어가게 된다.

# 예방 애플리케이션(앱)과 서비스

서울 사당동에 사는 주부 박모(55·여)씨는 최근 ‘신호위반 내역(교통청)’이라고 적힌 문자 한 통을 받았다. 문자 아래는 URL이 찍혀 있었다. 박씨가 무의식적으로 URL을 누르려는 순간 문자 수신창 위로 팝업 메시지가 떴다. “스미싱이 의심된다”는 보안 앱 ‘스미싱가드(S-GUARD)’의 경고메시지였다. 박씨는 지난해 휴대전화 연체금 법원통지서가 있다는 문자메시지를 보고 링크를 눌렀다가 10만원이 결제되는 피해를 본 적이 있다. 이후 박씨의 대학생 딸이 앱스토어에서 스미싱 방지 앱을 깔아 줬는데 이 앱이 경고메시지를 띄운 것이다. 박씨는 “이번에도 무의식적으로 URL을 누를 뻔했는데 앱의 경고 덕분에 금전 피해를 막을 수 있었다”고 말했다.

‘에스이웍스(SEWORKS)‘가 만든 스미싱가드는 별도의 업데이트 없이 클라우드 서버에 자동 저장된 실시간 데이터로 스미싱 피해를 막아 준다.

이를 포함해 시중에는 스미싱 피해 방지 앱이 20여 개 이상 나와 있다. 대부분 앱스토어 등에서 무료로 다운받을 수 있다. 안랩·이스트소프트 등 보안업체뿐 아니라 SK텔레콤·KT·LG유플러스 같은 통신사들도 개인·기업용 보안 앱을 앞다퉈 내놓고 있다.

안랩은 최근 스미싱 탐지 앱인 ‘안전한 문자’를 내놨다. SMS뿐 아니라 페이스북·카카오톡 같은 다양한 앱의 URL을 실행해 웹사이트에 접속해도 악성 앱 다운로드 여부를 실시간으로 탐지해 알려 준다.

이스트소프트는 모바일 백신 ‘알약 안드로이드’에 스미싱 차단 기능을 탑재했다. 이는 사용자 스마트폰에 스미싱 메시지가 도착하는 즉시 걸러낸다. 메시지 내용에 따라 ‘위험’과 ‘의심’ 등급으로 분류하고 스미싱으로 의심되는 이유 등을 상세히 설명해 준다.

시만텍의 ‘노턴 모바일 시큐리티’는 자동 라이브 업데이트 기능으로 스마트폰 등 모바일 기기를 늘 최신 보안상태로 유지해 준다. 스마트폰을 잃어버렸을 때 SMS나 웹사이트를 통해 잃어버린 스마트폰의 현재 위치를 파악하고 스마트폰을 원격으로 잠글 수도 있고 기기 내 개인정보를 삭제할 수도 있다.

SK텔레콤은 ‘T가드’ 앱과 ‘안심메시지’ 서비스를 내놨다. 스미싱을 유발하는 앱과 URL 등이 스마트폰에 유입되면 즉시 푸시 메시지로 알려 주는 방식이다. 조작되지 않은 정상 메시지에 안심 마크를 붙여 주는 안심 메시지 서비스도 제공한다.

LG유플러스는 사용자가 스마트폰에서 실시간으로 소액결제 기능을 차단하는 ‘U+고객센터 2.0’ 앱을 내놨다. 소액결제 상세내역 조회와 이용금액 한도 변경 등 스미싱을 실시간으로 차단할 수 있다. KT역시 악성 앱 설치를 막기 위한 ‘올레 스미싱 차단’ 앱을 내놨다.

채승기 기자

채승기 기자

▶기자 블로그 http://blog.joins.com/center/v2010/power_reporter.asp

[☞ 중앙일보 구독신청] [☞ 중앙일보 기사 구매]

[ⓒ 중앙일보 & Jcube Interactive Inc., 무단 전재 및 재배포 금지]