보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
2021 추석 연휴 기간 주의해야 할 스미싱 위협
어느덧 여름 무더위가 지나고 추석 연휴가 다가오고 있습니다. 모두 풍성한 한가위가 되시길 바랍니다.
추석이 다가오면서 코로나로 힘든 시기에 오랜만에 가족 분들과 담소를 나누시거나 긴 연휴기간을 이용하여 휴식을 취하시는 분들도 계실 텐데요.이런 행복한 날인 추석에도 명절이라는 키워드를 악용한 여러 스미싱이 있다는 점, 알고 계셨나요?
올해 8월까지 집계된 스미싱 건수는 14만 건이 넘으며, 추석을 앞두고 '택배', '5차 긴급재난지원금', '추석 선물/기프티콘 도착' 등의 키워드를 사용한 스미싱 건수가 더욱 증가할 것으로 보입니다. 스마트폰 사용자 여러분들께서는 이러한 유형의 문자를 수신할 경우, 메시지 안에 포함된 링크를 클릭하지 않도록 주의하시기 바랍니다.
스미싱은 말 그대로 모바일 기기 사용자들을 속이기 위한 SMS 문자 메시지입니다.스미싱은 모바일 기기 사용자들이 문자 메시지를 열람하여 악성코드와 악성 앱이 담긴 URL로 사용자들이 아무런 의심 없이 접속하게끔 유도하는데요. 스미싱을 보내는 시기에 유행하거나 화재인 키워드를 사용하여 사용자들이 더욱 관심을 가지고 해당 스미싱을 진짜 문자로 신뢰하게끔 만드는 수법을 사용합니다.
예를 들어, 코로나 긴급재난지원금 신청이 화재일 때, '코로나 긴급재난지원금 5차' 등의 키워드를 사용한 스미싱이 유행했고, 또한 국민건강검진 통지서가 배포되었을 시기에는 '국민건강검진 통지'라는 키워드를 사용한 스미싱이 기승을 부렸습니다.
▶ 점점 더 교묘해지는 '스미싱' 미리 알고 대처하려면? : 바로가기
첫 번째 스미싱은 '택배사 사칭 스미싱'입니다.택배사 사칭 스미싱은 명절이 아닌 평소에도 자주 발견되는 스미싱 위협 중 하나로, 월별 스미싱 탐지 통계에서도 항상 상위권을 차지합니다. 특히, 이번 추석에는 코로나로 인해 서로 방문이 어려운 가족과 친지들 간 선물을 전달하기 위해 택배를 더욱 많이 이용할 것으로 예상되며, 이로 인해 택배 관련 정보를 사칭한 스미싱 위협도 더욱 증가할 것으로 보입니다. 사용자들은 이러한 점을 염두에 두고, 택배 주문을 진행 중인 상황이라 할지라도 관련 문자를 무심코 열어보거나 문자 메시지 내 포함된 URL 링크를 클릭하지 않도록 주의해야 합니다. '내가 보낸 택배겠지', '내가 보낸 택배가 잘못됐나?'라는 생각으로 스미싱 URL에 접속하면, 택배 기업 애플리케이션으로 위장한 악성 앱을 다운로드하게 되며, 로그인을 위해 계정 정보를 입력하면, 해당 정보가 공격자 제어 사이트로 탈취될 수 있습니다. 또한 공격자가 이러한 방법으로 탈취된 개인정보를 추후 다른 스미싱에 악용하거나 금전적인 목적을 위한 공격에 활용하면 사용자들에게 추가적인 피해를 입힐 수 있으므로, 사용자들은 택배 관련 문자를 확인할 때 항상 주의를 기울여야 합니다.
두 번째 스미싱은 ‘국민 재난지원금 사칭 스미싱’입니다.최근 코로나19 확산세가 장기화되면서, 정부가 5차 국민 재난지원금 지급을 결정했고, 이에 따라 여러 기관에서는 재난 지원금 신청 안내 및 접수 또는 지급 대상자 여부 확인을 위한 문자 메시지를 전송하고 있습니다. 특히, 추석 명절을 보내기 위해 지원금을 사용하고자 하는 사람들이 이러한 문자 메시지를 수신할 경우, 성급한 마음에 링크를 클릭하면 스미싱 위협에 더욱 쉽게 노출될 수 있으므로 주의가 필요합니다. 문자 메시지는 긴급 재난지원금 지급 대상자 여부를 안내하는 내용, 재난지원금을 신청하기 위한 내용, 지원금 신청 완료 여부를 확인하기 위한 내용 등 여러 형태로 전달될 수 있으므로, 사용자들은 공식 정부 기관을 통해 지원금 신청 및 사용과 관련된 내용을 사전에 미리 숙지함으로써 이러한 스미싱 위협으로 인한 피해를 당하지 않도록 주의해야 합니다.
세 번째 스미싱은 '추석 모바일 상품권 스미싱'입니다. 추석 명절 기간에는 여러 기관이나 기업에서 명절 기념 모바일 상품권을 '경품' 목적으로 발행합니다. 또한 코로나로 인해 고향에 방문하지 못하는 사람들이 이러한 모바일 상품권으로 선물을 주고받는 경우가 많아서 이러한 점을 악용한 스미싱 위협도 다수 발생합니다. 사용자들은 이러한 점에 유의하여, 선물을 보낼 계획이거나 혹은 누군가 나에게 추석을 맞아 선물을 보냈을 것이라 짐작되는 상황이라 할지라도, 무턱대고 모바일 상품권 관련 문자 메시지를 열어보거나 메시지 안에 포함된 링크를 클릭하지 않도록 주의해야 합니다. 만약 사용자가 상품권을 확인하기 위해 URL을 클릭하면 다른 스미싱 공격과 유사하게 악성 앱을 사용자 기기에 다운로드하게 되거나 이를 통해 사용자 개인정보를 탈취할 수 있습니다. 탈취된 정보는 추후 사용자의 지인에게 금품을 요구하는 등의 사기 메시지에 활용될 수 있으므로 더욱 주의가 필요합니다.
네 번째 스미싱은 '비대면 추석 문자 스미싱'입니다. 이번 추석은 코로나로 인해 직접 가족들을 만나는 것이 아니라 핸드폰 문자를 통해 소식을 주고받는 사람들이 늘면서, 이 점을 악용해 비교적 나이가 많으신 부모님의 번호로 그분들의 자녀를 사칭한 스미싱 문자 메시지가 다수 전송될 수 있으므로 주의해야 합니다. 특히 문자 전송이나 핸드폰 사용에 익숙하지 않은 노년층의 경우, 자녀들에게 온 메시지라 생각하고 무심코 문자를 열어보거나 메시지 안에 포함된 악성 링크를 클릭할 수 있기 때문에 사용자들은 ‘비대면 추석’을 계획 중이라면 부모님들에게 이러한 문자 메시지를 주의해야 한다고 미리 당부할 필요가 있습니다.
위와 같은 스미싱 위협으로 인한 피해를 예방하기 위해서는 알약M과 같이 신뢰할 수 있는 모바일 전용 보안 애플리케이션을 사용해야 합니다. 일반적인 사용자들은 스미싱 문자를 일일이 판별하고 대처하기에는 어려움이 있기 때문에 자동으로 스미싱을 탐지하고 차단해주는 보안 앱을 사용하면 더욱 안전한 스마트폰 사용이 가능합니다. 또한 스미싱의 경우 키워드를 사용한 문구를 통해 사용자들의 의심을 피하므로, 평소 어떠한 키워드가 스미싱 문자에 자주 활용되는지 미리 숙지할 필요가 있습니다. 주로, 코로나와 같이 사회적으로 이슈가 되는 테마를 활용하거나 명절 기간 동안에는 명절과 관련된 키워드가 사용되기도 합니다. 사용자들은 이러한 점을 항상 염두에 두고 관심이 있거나 정보가 필요한 문자 메시지를 수신할 경우에도 무심코 링크를 클릭하지 않도록 주의해야 합니다. 그 밖에도 알 수 없는 출처의 애플리케이션이 설치되지 않도록 스마트폰의 보안 설정을 강화하고, 애플리케이션을 다운로드할 경우에는 문자 메시지에 포함된 링크가 아닌 공식 마켓을 통해서만 애플리케이션을 다운로드 및 설치할 것이 권장되며, 개인정보 또는 금융 정보를 함부로 입력하지 않도록 각별한 주의가 필요합니다.
이스트시큐리티는 사용자님들의 안전한 한가위를 기원합니다.
감사합니다.