침해사고/위협동향

[PLAY Apps]스미싱 막는 방법없을까…에스이웍스 ‘스미싱가드’

이민형 기자

[디지털데일리 이민형기자] 연일 스미싱(Smishing)에 대한 지면을 장식하고 있다.

‘애플리케이션을 설치만 했을 뿐인데 30만원의 소액결제 피해가 발생했다’, ‘문자가 와서 클릭만 했는데 소액결제로 돈이 빠져나갔다’ 등 피해를 호소하는 사례가 늘고 있다.

이에 정부와 이동통신사도 스미싱 피해 방지를 위한 대책마련에 나서고 있다. 하지만 피해는 좀처럼 줄지않고 있다. 


기자도 얼마전 GS홈쇼핑을 가장한 스미싱 공격을 받은 적이 있다. 6만8000원의 결제내역이 발생했는데 확인하려면 앱을 설치하라고 했다. 해당 앱을 설치하니 중국발 IP에서 앱 패키지 파일(.apk)을 내려받았고, 해당 앱은 국내 PG사인 ‘다날(danal.apk)‘를 사칭하고 있었다.


해당 앱의 권한을 살펴보니 의심되는 권한설정이 너무나 많았다. 특히 주목됐던 권한은 ‘문자 메시지 받기(SMS)’와 ‘SMS 메시지 보내기(비용이 부과될 수 있습니다)’ 부분이었다.

설치시 사용자의 스마트폰에 인증문자를 전송하고, 이를 중간에 가로채 해커에게 재전송하는 기능이란 것을 쉽게 눈치챌 수 있었다.

안드로이드 시스템에 대한 이해도가 낮은 사용자라면 분명 이를 설치했으리라. 문자를 받았을 때의 당혹감이 금전적인 피해로 이어진다. 스피어 피싱과 같은 사회공학적 해킹 기법을 사용했기 때문이다.

모바일 보안 전문업체인 에스이웍스(대표 홍민표)는 스미싱을 차단할 수 있는 ‘스미싱가드’ 앱을 출시했다.

스미싱가드는 단순하면서도 직관적인 사용자인터페이스(UI)를 가지고 있다. 첫화면에 ‘스미싱 해킹 실시간 탐지’와 ‘URL 탐지’ 기능이 자리하고 있다. 두번째 탭에는 지금까지 방어한 스미싱 공격에 대한 기록을 확인할 수 있다.


스미싱가드는 일반적인 백신과 달리 악성코드, 악성URL DB가 로컬이 아닌 클라우드 서버에 있기 때문에 성능상의 이슈도 없을 뿐더러, 스마트폰 앱 업데이트를 하지 않아도 주기적으로 업데이트되는 DB를 적용할 수 있다고 회사측은 설명한다.

홍민표 에스이웍스 대표는 “수집방법에 대해서 자세히 말할 순 없지만, 다양한 경로로 스미싱에 사용되는 파일들과 주소들을 DB에 적용하게 된다”며 “클라우드 기반 백신이기 때문에 스마트폰의 성능과 무관하게 사용할 수 있다”고 말했다.

실제 동작은 어떻게 이뤄질까. 스미싱가드는 문자를 열람할 수 있는 권한과 네트워크 통신에 대한 권한만 보유하고 있다. 사용자 스마트폰에 수신되는 문자(apk, url주소)와 스미싱가드 앱의 DB를 대조해 일치하는 경우 이를 사용자에게 알려주고 차단한다는 것이 회사측의 설명이다

실제 설치전 받은 문자메시지와 지인들로부터 수집한 문자메시지를 기자의 폰에 재전송한 결과 스미싱가드가 이를 잡아냈다. 일부 메시지는 이동통신사에서 직접 차단해 수신이 정상적으로 이뤄지지 않았다.


그러나 아직까지 개선의 여지는 남아있다. 문자에 ‘http://’가 없을 경우 이를 제대로 탐지하지 못한다. 대부분의 스미싱 공격이 http:// 를 기반으로 이뤄진다는 점에서 큰 문제는 없지만, 최근에 출시되는 스마트폰은 http:// 가 없어도 URL 형식일 경우 웹브라우저로 연결되기 때문에 이에 대한 업데이트가 필요할 것으로 보인다.

스미싱에 대한 근본적인 해결책은 될 수 없지만, 스미싱가드 설치로 스미싱에 대한 걱정을 다소 덜어보는 것은 어떨까.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널