스미싱의 의미와 정의
스미싱은 모바일 문자 메시지를 통해 이루어지는 피싱 사이버 보안 공격으로, SMS 피싱이라고도 합니다.
피싱의 일종이며, 피해자는 가장한 공격자에게 속아서 민감한 정보를 넘기게 됩니다. SMS 피싱은 맬웨어나 사기 웹사이트의 지원을 받을 수 있습니다. 이러한 사기는 다양한 모바일 문자 메시지 플랫폼에서 발생하며, 여기에는 데이터 기반 모바일 메시지 앱과 같은 SMS 이외의 채널도 포함됩니다.
스미싱이란 무엇인가요?
스미싱의 정의에서 알 수 있듯, 이 용어는 "SMS"(단문 메시지 서비스, 문자 메시지라고도 함)와 "피싱"을 합친 말입니다. 스미싱을 더 세부적으로 정의하자면 기술적 공격이 아닌 사람의 신뢰를 이용하는 소셜 엔지니어링 공격 유형으로 분류됩니다.
사이버 범죄자가 "피싱"을 할 때는 받는 사람을 속여 악성 링크를 클릭하게 만드는 가짜 이메일을 보냅니다. 스미싱의 경우에는 이메일 대신 문자 메시지를 사용합니다.
기본적으로 이러한 사이버 범죄자는 개인 정보를 훔치는 것이 목적이며, 이렇게 훔친 개인 정보는 사기나 다른 사이버 범죄를 저지르는 데 사용할 수 있습니다. 보통 이러한 범죄로는 금전 갈취가 있는데, 피해자의 돈을 빼앗는 경우가 많지만 회사의 자금을 갈취하는 경우도 있습니다.
사이버 범죄자는 흔히 다음과 같은 두 가지 방법 중 하나로 이러한 데이터를 훔칩니다.
- 맬웨어: 스미싱 URL 링크는 표적을 속여 휴대전화에 맬웨어, 즉 악성 소프트웨어를 다운로드해 설치하게 만듭니다. 이러한 SMS 맬웨어는 합법적인 앱을 가장해 기밀 정보를 입력하고 이 정보를 사이버 범죄자에게 전송하도록 속일 수 있습니다.
- 악성 웹사이트: 스미싱 메시지의 링크는 민감한 개인 정보를 입력하도록 요구하는 가짜 사이트로 연결될 수 있습니다. 사이버 범죄자는 정보를 훔치기 더 쉽게 유명한 사이트를 흉내내서 맞춤으로 만든 악성 사이트를 사용합니다.
스미싱 문자 메시지는 은행에서 보낸 것처럼 가장해 계좌나 ATM 번호와 같은 개인 정보 또는 금융 정보를 요구하는 경우가 많습니다. 이러한 정보를 제공하는 것은 도둑에게 은행 잔고에 대한 열쇠를 건네는 것과 같습니다.
업무에 개인 스마트폰을 사용하는 사람이 많아지면서(BYOD("Bring Your Own Device"라고 알려진 트렌드) 스미싱은 소비자뿐 아니라 비즈니스에도 위협이 되고 있습니다. 그렇기에 스미싱이 악성 문자 메시지의 주된 형태가 되어 가는 것도 놀라운 일은 아닙니다.
모바일 장치 사용이 늘어나면서 모바일 장치를 노리는 사이버 범죄가 많아지고 있는 것입니다. 스마트폰의 가장 일반적인 용도가 문자 메시지라는 점 이외에도 스미싱을 특히 은밀하게 퍼지는 사이버 위협으로 만드는 몇 가지 요소가 있습니다. 설명을 위해 스미싱 공격의 작동 방식을 살펴보겠습니다.
스미싱은 어떻게 작동하나요?
속임수와 사기는 SMS 피싱 공격의 핵심적인 구성 요소입니다. 공격자는 표적이 신원을 신뢰할 것이라 가정하기 때문에 그러한 요청에 넘어갈 가능성이 더 높습니다.
소셜 엔지니어링 원칙에 따라 스미싱 공격자는 피해자의 의사 결정을 조작할 수 있습니다. 이러한 사기의 원동력은 다음과 같은 세 가지로 이루어져 있습니다.
- 신뢰: 사이버 범죄자는 무해한 개인이나 조직인 척하면서 표적의 의심을 누그러뜨립니다. SMS 텍스트는 더 개인적인 커뮤니케이션 채널이기 때문에 자연스럽게 위협에 대한 사람들의 경계심을 낮출 수 있습니다.
- 맥락: 표적과 관련된 상황을 활용하면 공격자는 효과적으로 가장할 수 있게 됩니다. 메시지가 개인적으로 느껴지면 스팸일지도 모른다는 의심을 지우는 데 도움이 됩니다.
- 감정: 표적의 감정을 고조시키면 공격자는 표적의 비판적 사고를 가리고 성급하게 행동하도록 만들 수 있습니다.
공격자는 이러한 수법을 사용하여 수신자가 행동을 취하게 만드는 메시지를 작성합니다.
일반적으로 공격자는 수신자가 문자 메시지에 있는 URL 링크를 열어보기를 바라며, 이러한 링크는 비공개 정보를 공개하게 만드는 피싱 도구로 연결됩니다. 이러한 피싱 도구는 가짜 신원을 사용하는 웹사이트 또는 앱의 형태인 경우가 많습니다.
표적은 다양한 방식으로 선정되지만 일반적으로는 조직이나 지리적 위치에 관련된 경우가 많습니다. 특정 기관의 직원 또는 고객이거나 모바일 네트워크 구독자, 대학 학생, 특정 지역의 거주자인 경우에도 표적이 될 수 있습니다.
공격자가 액세스 권한을 얻고자 하는 기관을 가장하는 경우도 많습니다. 하지만 신원이나 금융 정보를 획득하는 데 도움이 된다면 무엇이든 손쉽게 가장할 수 있습니다.
스푸핑으로 알려진 수법을 사용하면 공격자는 유인물 뒤에 진짜 전화번호를 숨길 수 있습니다. 스미싱 공격자는 공격을 근원을 더 철저하게 가리기 위해 저렴하게 쓰고 버릴 수 있는 선불폰인 대포폰을 사용할 수도 있습니다. 공격자는 번호를 숨기기 위한 또 다른 수단으로 이메일-문자 메시지 서비스를 사용한다고 알려져 있습니다.
공격자는 다음과 같은 몇 가지 단계를 거쳐 차근차근 공격을 진행합니다.
- 문자 메시지를 배포하여 표적에게 "덫"을 놓습니다.
- 속임수를 통해 피해자의 정보를 확보합니다.
- 피해자에게서 얻은 정보를 가지고 원하는 범죄를 실행합니다.
공격자의 스미싱 수법은 표적의 비공개 정보를 사용하여 목표로 했던 범죄를 저지르면 성공하게 됩니다. 이러한 목표에는 은행 계좌에서 직접 훔치기, 신원 사기를 통해 불법적으로 신용카드 개설하기, 비공개 기업 데이터 유출하기 등이 포함되며, 이에 국한되지 않습니다.
스미싱은 어떻게 전파되나요?
앞서 언급했듯, 스미싱 공격은 전통적인 문자 메시지와 SMS 이외의 메시징 앱 모두를 통해 전달됩니다. 그러나 SMS 피싱 공격은 기본적으로 사기적인 속성이 있기 때문에 쉽게 중단되거나 발각되지 않습니다.
스미싱 사기는 사용자가 문자 메시지는 안전하다는 잘못된 믿음을 가지고 있기 때문에 강력해집니다.
우선, 이메일 사기의 위험에 대해서는 대부분의 사람들이 잘 알고 있습니다. "안녕하세요, 이 링크 좀 확인해 보세요"라는 내용의 이메일이 의심스럽다는 점은 배워서 알고 있을 것입니다. 진정성 있는 개인적인 메시지가 빠져 있다는 점도 보통 이메일 스팸 사기의 중요한 위험 신호입니다.
사람들이 휴대전화를 사용할 때는 경계를 늦추기 마련입니다. 스마트폰이 컴퓨터보다 안전하다고 생각하는 사람이 많습니다. 그러나 스마트폰 보안에는 한계가 있으며, 스미싱에 대해 항상 직접적으로 보호해 줄 수는 없습니다.
사용하는 수단이 무엇이든 이러한 수법은 결국 표적의 신뢰와 판단 착오만 있으면 손쉽게 성공을 거두게 됩니다. 결과적으로 스미싱은 문자 메시지 기능이 있는 모든 모바일 장치를 공격할 수 있습니다.
Android 장치가 시장의 주류 플랫폼이며, 맬웨어 문자 메시지에 적합한 표적이기는 하지만 iOS 장치도 표적이 될 가능성이 있기는 마찬가지입니다. Apple의 iOS 모바일 기술은 보안에 관한 평판이 좋은 편이지만 어떠한 모바일 운영 체제도 피싱과 같은 공격으로부터 스스로를 지킬 수는 없습니다. 보안에 대한 잘못된 감각은 플랫폼에 관계 없이 사용자를 취약하게 만들 수 있습니다.
또 다른 위험 요인은 스마트폰은 주로 이동 중에 사용하기 때문에 주위가 분산되거나 서두르는 경우가 많다는 점입니다. 즉, 경계를 늦추고 있다가 은행 정보를 물어보거나 쿠폰 사용을 요구하는 메시지를 받으면 답장할 가능성이 높아집니다.
스미싱 공격의 유형
각각의 스미싱 공격은 비슷한 수법을 사용하지만 나타나는 형태는 매우 다양할 수 있습니다. 공격자는 SMS 공격이 새롭게 보이도록 다양한 신원과 전제를 사용할 수 있습니다.
안타깝게도 이러한 공격은 끊임없이 변주되기 때문에 스미싱 유형을 전부 나열하기는 사실상 불가능합니다. 사기와 관련해 몇 가지 정해진 전제를 활용하면 피해를 입기 전에 스미싱 공격을 알아내는 데 도움이 되는 특징을 찾을 수 있습니다.
스미싱 공격의 일반적인 전제는 다음과 같습니다.
코로나 19 스미싱
코로나 19 스미싱 사기는 정부, 의료 기관, 금융 조직에서 코로나 19 팬데믹의 구제를 위해 만든 합법적인 지원 프로그램을 바탕으로 합니다.
공격자는 이러한 수법으로 건강 및 재무와 관련된 피해자의 공포를 조작해 사기를 저지릅니다. 경고 신호에는 다음이 포함될 수 있습니다.
- 민감한 정보를 요구하는 연락처 추적(주민등록번호, 신용카드 번호 등)
- 재난 지원금과 같은 세금 기반 금융 구제책
- 공공 보건 안전 업데이트
- 미국 인구 통계 작성 요청
금융 서비스 스미싱
금융 서비스 스미싱 공격은 금융 기관의 알림을 사칭합니다. 거의 모든 사람이 뱅킹 및 신용카드 서비스를 사용하기 때문에 진짜 같은 기관별 메시지는 신뢰하기 쉽습니다. 대출과 투자도 이 분야에 자주 사용되는 전제입니다.
공격자는 금융 사기를 저지르기 적합한 가짜 신분으로 은행 또는 다른 금융 기관인 척합니다. 금융 서비스 스미싱 사기의 특징으로는 계좌의 잠금을 해제해 달라는 긴급한 요청, 의심스러운 계좌 활동을 확인해 달라는 요구 등이 있을 수 있습니다.
선물 스미싱
선물 스미싱은 무료 서비스 또는 제품을 약속하며, 보통 신뢰할 만한 소매업체 또는 기타 회사에서 오는 경우가 많습니다. 증정 콘테스트, 쇼핑 리워드, 다양한 무료 혜택 등이 여기에 해당합니다. 공격자가 “무료”라고 제안하면서 기대감을 높이면 논리적인 사고를 하지 못하고 빠르게 행동하게 됩니다. 이러한 공격의 신호로는 기간 한정 혜택 또는 무료 기프트 카드 독점 제공 등이 있습니다.
인보이스 또는 주문 확인 스미싱
확인 스미싱은 최근 구매 또는 서비스 결제 인보이스의 가짜 확인과 관련되어 있습니다. 후속 조치를 위해 제공된 링크는 호기심을 유발하거나 원치 않는 과금에 대한 공포를 불러 일으켜 즉각적인 행동을 하도록 촉구할 수 있습니다. 이러한 사기의 증거는 주문 확인 문자의 문장 또는 사업체 이름이 없는 것을 보면 알 수 있습니다.
고객 지원 스미싱
고객 지원 스미싱 공격자는 문제 해결에 도움을 주는 신뢰할 수 있는 기업의 지원 담당자를 사칭합니다. Apple, Google, Amazon과 같이 많이 사용하는 기술 및 전자 상거래 기업은 이러한 전제에서 공격자가 효과적으로 사칭하는 대상입니다.
보통 공격자는 계정에 오류가 있다고 주장하며 이를 해결하기 위한 단계를 제공합니다. 이러한 요청은 가짜 로그인 페이지를 사용하는 것처럼 단순할 수 있지만 더 복잡한 수법의 경우에는 비밀번호를 재설정하기 위해 실제 계정 복구 코드를 제공해 달라고 요청할 수도 있습니다. 지원 기반 스미싱 수법에 대한 경고 신호로는 청구, 계정 액세스, 비정상적인 활동 또는 최근 고객 불만 해결과 관련된 문제가 있습니다.
스미싱의 예
휴대전화가 있는 거의 모든 사람이 SMS를 사용할 수 있기 때문에 스미싱 공격은 전 세계에서 발생하는 것으로 알려져 있습니다. 알아 두어야 하는 스미싱 공격의 몇 가지 예는 다음과 같습니다.
Apple iPhone 12 얼리 액세스 사기: 주문 확인 및 선물 스미싱
2020년 9월, 신용카드 정보를 제공하면 무료 iPhone 12를 준다고 사람들을 속이는 스미싱 캠페인이 등장했습니다.
이 수법은 주문 확인 전제를 사용하는데, 택배가 잘못된 주소로 배송되었다는 내용의 문자 메시지가 전송됩니다. 문자 내 URL 링크를 통해 표적은 Apple 챗봇을 가장한 피싱 도구로 이동하게 됩니다. 이 도구는 피해자에게 얼리 액세스 체험판 프로그램의 일환으로 무료 iPhone 12을 받을 수 있는 프로세스를 안내하며 소액의 배송료를 결제하기 위해 불가피하게 신용카드 정보를 요청한다고 합니다.
USPS 및 FedEx 사기: 주문 확인 및 선물 스미싱
2020년 9월, 가짜 USPS 및 FedEx 택배 배송 SMS 사기 신고가 알려지기 시작했습니다. 이러한 스미싱 공격은 다양한 서비스의 계정 자격 증명이나 신용카드 정보를 훔치려는 시도일 수 있습니다.
이러한 메시지는 택배 배송이 누락되었거나 잘못되었다고 주장하며 FedEx 또는 USPS 사은품 설문조사인 척하는 웹사이트 피싱 도구의 링크를 제공합니다. 이러한 피싱 사이트의 전제는 다양할 수 있지만 많은 경우 Google과 같은 서비스의 계정 로그인 정보를 수집하려는 시도인 것으로 판명되었습니다.
필수 온라인 코로나 19 검사 사기: 코로나 19 스미싱
2020년 4월, 상업 개선 협회에서는 미국 정부 사칭범이 문자 메시지를 보내 사람들에게 링크된 웹사이트에서 코로나 19 검사를 필수로 받도록 요구한다는 신고를 부쩍 많이 받았습니다.
물론 코로나 19 검사를 온라인으로 받을 수는 없기 때문에 많은 사람들은 이 사기를 바로 알아챘습니다. 하지만 팬데믹에 대한 공포를 이용하는 것이 대중을 희생양으로 만드는 효과적인 방법이기 때문에 이러한 스미싱 공격은 쉽게 발전할 수 있습니다.
스미싱 방지 방법
좋은 소식은 이러한 공격의 잠재적인 결과에 간단하게 대응할 수 있다는 사실입니다. 아무 것도 안 하면 스스로를 안전하게 지킬 수 있습니다. 기본적으로 표적이 덫에 걸려야만 공격자가 손해를 입힐 수 있습니다.
하지만 문자 메시지는 많은 소매업체와 기관에서 여러분에게 연락을 취하는 정당한 수단임을 명심하십시오. 모든 메시지를 무시해야 하는 것은 아니지만 안전하게 행동할 필요는 있습니다.
이러한 공격으로부터 스스로를 지키기 위해 명심해야 하는 몇 가지 사항이 있습니다.
- 반응하지 마십시오. “STOP”이라는 문자를 답장으로 보내야 구독을 취소할 수 있다는 메시지조차도 사용 중인 휴대전화 번호인지를 알아내기 위한 속임수일 수 있습니다. 공격자는 표적의 호기심이나 상황에 대한 불안을 이용하지만 여러분은 이에 참여하기를 거부할 수 있습니다.
- 메시지가 긴급해 보인다면 평정심을 되찾으십시오. 긴급한 계정 업데이트와 기간 한정 혜택에는 스미싱 가능성이 있다는 주의 신호로 보고 접근해야 합니다. 의심을 거두지 말고 조심스럽게 진행하십시오.
- 그래도 의심된다면 은행이나 상점에 직접 전화를 거십시오. 실제 기관은 문자를 통한 계정 업데이트나 로그인을 요청하지 않습니다. 또한 긴급한 공지라면 온라인 계정에서 직접 또는 공식 휴대전화 헬프라인을 통해 검증할 수 있습니다.
- 메시지에 있는 링크나 연락처 정보는 사용하지 마십시오. 내키지 않는 메시지의 링크나 연락처 정보는 사용하지 않는 것이 좋습니다. 가능하다면 공식 연락 채널로 직접 이동하십시오.
- 전화번호를 확인하십시오. 4자리 번호와 같이 이상하게 보이는 전화번호는 이메일-문자 메시지 서비스의 증거일 수 있습니다. 이것은 사기범이 진짜 전화번호를 가리기 위해 사용할 수 있는 다양한 전략 중 하나입니다.
- 신용카드 번호를 휴대전화에 절대 보관하지 마십시오. 디지털 지갑에서 금융 정보를 도난 당하지 않는 가장 좋은 방법은 디지털 지갑에 두지 않는 것입니다.
- 다단계 인증(MFA)을 사용하십시오. 공격 당한 계정에서 인증을 위해 두 번째 "키"를 요구한다면 노출된 비밀번호는 스미싱 공격자에게 아무 쓸모가 없게 됩니다. MFA의 가장 일반적인 형태는 2단계 인증(2FA)이며, 보통 문자 메시지 인증 코드를 사용합니다. 더 강력한 버전으로는 Google Authenticator와 같은 인증 전용 앱을 사용하는 방법이 있습니다.
- 절대 문자 메시지를 통해 비밀번호나 계정 복구 코드를 제공하지 마십시오. 비밀번호와 문자 메시지 2단계 인증(2FA) 복구 코드는 모두 잘못된 사람의 손에 들어가면 계정을 침해할 수 있습니다. 누구에게도 이러한 정보를 건네지 말고 공식 사이트에서만 사용하십시오.
- 맬웨어 방지 앱을 다운로드하십시오. Kaspersky Internet Security for Android와 같은 제품은 SMS 피싱 링크 그 자체와 악성 앱으로부터 보호해 줄 수 있습니다.
- 담당 기관에 모든 SMS 피싱 시도를 신고하십시오.
이메일 피싱과 마찬가지로 스미싱도 사기 범죄라는 사실을 잊지 마십시오. 피해자를 속여 링크를 클릭하거나 정보를 제공하게 만드는 방법을 사용합니다. 이러한 공격에 대한 가장 간단한 보호 조치는 아무 것도 하지 않는 것입니다. 반응하지 않으면 악성 문자 메시지로는 아무 것도 할 수 없습니다.
스미싱의 피해를 입었다면 해야 할 일
스미싱 공격은 교묘하며, 이미 피해를 입었을 수 있기 때문에 이럴 때는 복구 계획이 필요합니다.
다음과 같은 중요한 조치를 취해 스미싱 시도의 성공으로 인한 피해를 제한하십시오.
- 도움을 줄 수 있는 모든 기관에 의심스러운 공격을 신고하십시오.
- 신용카드를 동결하여 향후 발생할 수 있거나 진행 중인 신원 사기를 막으십시오.
- 가능하면 모든 비밀번호와 계정 PIN을 변경하십시오.
- 금융, 신용카드 등 다양한 온라인 계정에서 이상한 로그인 위치나 기타 활동을 모니터링하십시오.
스미싱 공격이 이루어진 후에는 보호에 있어 각각의 단계가 상당한 가중치를 갖습니다. 그러나 공격을 신고하면 복구에 도움이 될 뿐 아니라 다른 사람들도 피해자가 되는 것을 막을 수 있습니다.