진화하는 스미싱, 안전지대가 없다

앱카드 해킹, 안드로이드폰·아이폰 보안 허점 꿰고 있었다

[아시아경제 김철현 기자] #. 정보통신(IT) 기업에서 일하는 직장인 A씨는 인터넷뱅킹을 이용하지 않는다. 직장에서 들은 각종 악성코드의 위험성을 우려해서다. 대신 공식 앱스토어를 통해서만 프로그램이 설치돼 악성코드의 위협으로부터 비교적 안전한 아이폰에서 스마트뱅킹을 사용한다. 하지만 최근 스미싱을 통해 앱카드를 해킹한 피해 사례가 발견되면서 스마트뱅킹에 대한 A씨의 불안감은 커지고 있다.

스미싱의 진화가 '점입가경'이다. 갈수록 수법은 교묘해져 이제는 안전지대가 없다고 여겨질 정도다. 지난해 4월 선보인 새로운 기술인 앱카드는 출시 1년 만에 스미싱의 제물이 됐다. 이처럼 점점 더 위험성이 증가하고 있는 스미싱의 실체는 무엇이며, 이로 인한 피해를 줄일 수 있는 방법은 무엇일까.

스미싱(Smishing)은 문자메시지(SMS)와 피싱(Phishing)의 합성어다. 피싱이 개인정보(Private Data)와 낚시(Fishing)의 합성어라는 점을 감안하면 문자메시지를 보내 개인정보를 탈취하는 해킹이라고 할 수 있겠다. 스미싱은 최근에 각종 피해 사례가 불거지면서 사회적 문제로까지 비화되고 있지만 처음 등장한 것은 인터넷을 이용할 수 있는 휴대폰이 나온 2000년대 중반으로 거슬러 올라간다. 2006년 글로벌 보안업체인 맥아피가 처음 이 용어를 만들어 사용한 것이다.

스미싱은 주로 웹사이트 링크가 포함된 문자메시지를 보내 휴대폰 이용자가 클릭하면 악성 애플리케이션(이하 앱)이 자동으로 설치되도록 하는 수법이다. 이렇게 설치된 악성 앱을 통해 범죄자는 휴대폰 이용자 모르게 소액결제를 하기도 하고, 개인정보 및 금융정보를 빼돌리기도 한다. 초기의 스미싱은 사전에 유출된 개인정보와 결합해 소액결제를 유도하는 형태였다. 하지만 최근에는 스마트뱅킹 사용자가 늘면서 금융 거래나 결제에 필요한 정보를 탈취해 큰 금전 피해를 입히는 형태로까지 진화했다.

이번 앱카드 해킹이 대표적인데, 이 수법을 들여다보면 보안에 취약한 안드로이드폰에 악성코드를 심어 금융정보를 빼돌린 뒤 앱 설치 시 휴대폰 고유번호를 확인할 수 없는 아이폰에 앱카드를 설치해 몰래 결제하는 형태였다. 안드로이드폰이나 아이폰의 허점에, 앱카드 방식의 보안 취약점까지 정확히 파악한 뒤 정교하게 설계한 공격이었던 셈이다.

특히 스미싱을 위한 악성코드가 급속히 증가하고 있어 이 같은 피해가 지속적으로 발견될 수 있다는 우려가 커지고 있다. 보안업체 안랩의 내부 집계 결과 올해 1분기 스미싱 악성코드는 총 2062개 발견됐다. 이는 지난해 1분기 504개 대비 약 4배, 2012년 1분기 5개에 비하면 무려 400배 이상 증가한 수치다. 지난해 한 해 동안 발견된 스미싱 악성코드가 총 5206개라는 점을 감안하면 약 40%가 올 1분기 만에 발견될 정도로 그 수는 기하급수적으로 늘고 있다.

그렇다면 스미싱을 예방하는 방법은 뭘까. 보안 전문가들은 한 목소리로 사용자들의 주의를 당부하고 있다. 스미싱은 무심코 클릭한 문자메시지의 링크에서 시작되기 때문이다. 문자메시지나 SNS에 포함된 URL 실행을 자제하는 것이 스미싱 예방의 첫 걸음이라는 얘기다. 또한 모바일 백신으로 스마트폰을 주기적으로 검사해야 하고 시스템 설정에서 '알 수 없는 출처'의 앱을 설치하지 못하도록 잠궈둬야 한다. 신뢰할 수 있는 보안업체 등에서 내놓은 스미싱 탐지 전용 앱을 설치하는 것도 좋은 방법이다.

금융권 관계자는 "최근 스마트폰을 통한 다양한 금융 거래가 늘면서 이를 겨냥한 스미싱도 진화하고 있다"며 "기본적인 보안 수칙을 생활화해 피해를 최소화해야 한다"고 말했다.