- 소액결제 비활성화·백신 앱 설치 등으로 피해 최소화

[디지털데일리 이민형기자] 최근 이동통신사, 보안업계, 금융업계는 안드로이드폰 사용자를 노린 스미싱 공격에 골머리를 앓고 있다.

스미싱(Smishing)은 문자메시지(SMS)와 피싱(phishing)의 합성어다. 쿠폰 제공 등의 문자로 위장한 메시지를 클릭할 경우 사용자 휴대폰에 악성코드가 설치되고 이를 통해 소액결제 인증번호를 빼내는 신종 사기 수법이다.

지난해 초 모바일 악성코드가 개인정보를 탈취해갈 수 있다고 경고한지 1년 만에 금전적인 피해 사례가 발생했다는 점에서 업계의 긴장감은 고조되고 있다.

스미싱 공격의 프로세스는 과거의 PC악성코드 유포방식과 크게 다르지 않다. 사용자들의 심시와 단축URL을 악용한다는 점은 동일하지만 범행 대상자의 기본적인 개인정보를 이미 알고 있는 상태에서 시도된다는 점은 차이가 있다.

해커는 먼저 악성코드가 삽입된 애플리케이션 패키지 파일(.apk)을 드롭박스와 같은 클라우드 스토리지에 저장하고, 그 주소를 단축URL로 변경해 사용자들에게 SMS형태로 배포한다.

사용자가 해당 단축URL을 클릭하면 해당 악성 앱을 내려받게 된다. 만약 사용자가 이를 클릭할 경우 자동으로 설치되며, 이 경우 안드로이드폰 백그라운드에서 각종 정보를 수집해 해커에게 전송하게 된다.

사용자가 PG(지불대행)사를 통해 소액결제를 요청할 때 승인문자가 오게 되는데, 이를 중간에서 가로채 악용하는 것이다. 소액결제지만 최고 30만원의 금전적인 피해가 발생할 수 있으므로 주의가 필요하다.

스미싱 공격을 근본적으로 해결할 수 있는 방법은 해커들을 검거하는 것이지만, 이는 사용자단에서는 불가능하다. 다만 피해를 최소화할 수 있는 방법을 소개한다.

금전적인 피해를 막는 가장 좋은 방법은 소액결제를 불가능하도록 만드는 것이다. 소액결제는 이동통신사와 PG사와의 계약을 통해 최저 1000원에서 최고 30만원까지 휴대전화 요금으로 후불 결제할 수 있는 방식이다.

만약 평소에 소액결제를 사용하지 않을 경우 고객센터(휴대전화 114)를 통해 소액결제 금액을 축소하거나 사용하지 않도록 설정할 수 있다. 이렇게 설정 할 경우 혹여나 악성 앱을 설치하더라도 금전적인 피해는 예방할 수 있다.

두 번째로는 안드로이드폰 설정에서 ‘알 수 없는 출처의 앱 설치’ 설정을 꺼두는 것이다. 지난해 이동통신사와 금융권에서는 안드로이드폰 사용자들에게 ‘알 수 없는 출처의 앱 설치’ 설정을 활성화하도록 권유했다.

금융권에서는 모바일뱅킹 앱 구동에 필요한 서드파티 백신(AV) 앱 설치를 위해 자신들이 관리하는 서버에서 직접 파일(.apk)을 내려받아 설치하도록 했고, 이동통신사에서는 신규 앱이 출시될 때 마다 SMS를 통해 이를 프로모션했다.

생각하기에 따라 스미싱 사태를 불러온 원인으로도 볼 수 있다. 다행스럽게도 최근에는 공식마켓에서 직접 내려받도록 유도하고 있다.

‘알 수 없는 출처의 앱 설치’ 설정을 비활성화해두면 자체적으로 내려받은 앱을 설치할 수 없다. 이는 악성 앱 등도 설치가 불가능하다는 이야기다. 앱은 설치되지 않으면 제기능을 발휘하지 못하기 때문에 위험도는 낮아진다.

세 번째로는 모바일백신을 활용하는 것이다. 안랩, 잉카인터넷, 이스트소프트 등 국내 보안업체들은 개인용 안드로이드폰용 모바일 백신 앱을 무료로 배포하고 있다. 과거 이러한 백신 앱들은 모바일 기기의 성능을 저해한다는 점에서 기피됐지만, 모바일 기기의 높아진 성능과 가벼워진 엔진으로 충분한 효과를 볼 수 있다.

백신 앱은 악성 앱 설치를 저지하는 것 물론 프로세스를 감시해 이상 징후가 있을 경우 즉각 사용자에게 알려주고 조치방법을 안내해 준다.

무엇보다도 중요한 것은 사용자 자신이 경각심을 갖는 것이다. 소액결제와 관련된 문자가 왔을 때는 링크를 눌러보기 보다는 고객센터를 통해 직접 알아보는 것이 좋고, 무료쿠폰, 프로모션 앱 등도 누르지 않는 것이 현명한 선택이다.

<이민형 기자>kiku@ddaily.co.kr