보안

‘문자 메시지를 통한 피싱’ 스미싱의 정의와 이를 막는 방법

Josh Fruhlinger | CSO 2020.05.04
스미싱(Smishing)은 문자 메시지를 사용해 피해자에게 가치있는 정보를 캐내거나, 악성코드를 설치하거나, 돈을 기부하도록 속이는 사이버 공격이다.

 

ⓒ Getty Images Bank


스미싱이란 무엇인가

스미싱은 호도하는 문자 메시지를 사용해 피해자를 속이는 사이버공격이다. 공격의 목표는 신뢰할 수 있는 사람이나 조직으로부터 메시지가 왔다는 것을 믿게 만든 다음, 공격자가 악용할 수 있는 정보, 예를 들어 은행 계좌 로그인 자격 증명이나 모바일 기기에 대한 액세스를 제공하는 조치를 취하도록 설득하는 것이다.

스미싱은 1990년 대부터 있었던 이메일 기반 피싱(Phishing)의 변형인 문자 메시지 중심의 사기 행위다. 그러나 사용자는 종종 컴퓨터보다 휴대폰에서 의심스러운 메시지에 대해 덜 주의해 이메일 메시지보다 의심스러운 문자 메시지를 열어볼 가능성이 더 높다. 그리고 개인 기기에는 일반적으로 회사에서 사용할 수 있는 보안 조치가 부족하다. 이 오래된 속임수에 대한 악명은 점점 더 널리 퍼지고 있다.

 
피싱, 스미싱, 바이싱의 차이점

스미싱에 대한 자세한 내용을 살펴보기 전에 이와 관련된 공격 기법의 용어를 이해해야 한다. 피싱은 이 모든 공격의 조상이며, 본질적으로 피해자를 속이기 위한 이메일 메시지를 전송하는 것으로 시작한다.

피시(Phish)는 물고기(fish)라는 단어와 비슷하다. 비유는 낚시꾼이 낚아채는 낚시바늘(피싱 이메일)를 던지고 물고기(사용자)가 이를 물기를 기다리는 것이다. 이 용어는 1990년대 중반 AOL 사용자가 로그인 정보를 포기하도록 속이려는 해커들 사이에서 발생했다. ‘ph’는 아마도 프리킹(phreaking)이라는 용어의 영향인 것으로 보인다. 프리킹은 폰 프리킹(phone phreaking)의 줄임말로, 무료 전화를 사용하기 위해 전화 단말기나 시스템 운영 오류를 악용하는 행위를 의미한다.

스미싱은 본질적으로 문자 메시지를 통한 피싱이다. 이 단어는 피싱과 SMS의 합성어이며, SMS(Short Message Service)는 전화 문자 메시지 서비스에 사용되는 프로토콜이다. 이런 어원 때문에 때때로 ‘SMiShing’이라고 쓰여진 단어를 볼 수도 있다. 또한 최근에는 많이 사라졌지만, 위챗(WeChat)이나 애플 아이메시지(iMessage)와 같은 비 SMS 문자 서비스를 통한 사기 시도도 스미싱에 포함하기도 한다(카카오톡도 포함된다. 편집자 주). 스미싱은 적어도 2000년 대 후반부터 존재해왔으며, 현재 스마트폰의 대중화로 사이버범죄자들에게 더 매력적인 공격 경로가 됐다.
 
비싱(Vishing)은 이메일이나 문자 대신 음성통화를 사용하는 유사한 공격 유형이다. 이 단어는 ‘음성’과 ‘피싱’의 합성어다. 스미싱과 비싱의 차이점에 대해서는 이 기사를 참조하라.


스미싱 공격의 3가지 범주와 예시

지금까지 다소 이론적인 용어를 설명했다. 이제부터 스미싱이 실제로 어떻게 작동하는지 구체적인 예시를 살펴보면서, 사용자가 무엇을 경계해야 하는지 알아보자.

스미싱 공격은 3가지 범주로 분류할 수 있다.
우선 사용자를 속여 자격 증명을 공개하도록 유도한다. 스미싱 공격자는 사용자가 온라인 계정 가운데 하나에 로그인할 때 사용할 수 있는 사용자 이름과 비밀번호 또는 기타 기밀 정보를 드러내도록 설득할 수 있다. 특히 뱅킹 스미싱(bank smishing)은 가장 공격 성공률이 높고 흔한 공격 유형 가운데 하나다.

영국 소비자 정보 사이트 위치(Which)는 일반적인 뱅킹 스미싱 공격의 양상을 잘 보여주고 있다. 이런 공격의 역설은 사용자 계정을 해킹하기 위해 스미싱 공격자가 해킹에 대한 사용자의 두려움을 악용한다는 것이다.

은행에서 송금했음을 알리는 문자 메시지를 보내는데, 큰 금액의 이체나 새로운 수취인이 추가됐음을 경고하면서 계정에 대한 무단 액세스를 차단하기 위한 전화번호나 클릭 링크를 제공한다. 물론 실제로는 이체나 새로운 수취인은 존재하지 않는다. 해당 링크는 사용자를 사용자의 은행과 비슷하게 생긴 스푸핑(spoofed)된 웹사이트로 이동하고 사용자 이름과 비빌번호를 요청하며 전화번호는 사기꾼과 연결되어 동일한 정보를 사용자에게서 빼내려고 한다. 해당 자격 증명을 탈취하고 나면 범죄자는 사용자의 은행 계좌에 로그인해 이를 약탈할 수 있다.   

뱅킹 스미싱 공격은 종종 몇 가지 이유로 성공한다. 하나는 많은 은행이 실제로 사용자 계정에서 의심스러운 활동에 대해 문자 메시지를 보내는 서비스를 하고 있다는 것이다. 명심해야 할 점은 합법적인 메시지에는 은행이 이미 사용자를 알고있음을 증명하는 정보가 포함돼야 한다는 것이다. 예를 들어, 신용카드나 은행 계좌 번호의 마지막 몇 자리를 포함할 수 있다. 세부 사항없이 계정에 대한 모호한 언급은 의심해야 한다. 또한 일반적으로 은행 웹 사이트로 직접 연결되는 링크는 포함하지 않는다.

미국 캘리포니아 주 오렌지 카운티의 신용조합에는 은행의 합법적인 문자 메시지에 표시되는 내용에 대한 유용한 안내서가 있다(특히 국내의 경우, 지난해부터 시행된 공공기관의 모바일 고지 서비스가 올해부터 금융업체와 민간기업으로 확대됐다. 하지만 모바일 고지 서비스는 신청에 동의한 사용자에게만 가능하며 동의없이 먼저 연락하지 못한다. 은행의 낮은 금리 대출 문자나 택배업체의 택배 서비스 문자 메시지에 있는 약식 링크는 모두 스미싱이다. 편집자 주)

사용자가 동의하지 않은 메시지나 출처가 확실하지 않다면, 문자 메시지로 전송된 링크를 누르지 말고 브라우저나 앱을 통해 계정에 로그인해야 한다.

피해자를 현혹하는 또 다른 요인은 SMS 스푸핑 기술이다. 많은 사이버 범죄자가 문자 메시지에서 전화번호나 짧은 코드를 위장하는 SMS 스푸핑 기술을 사용한다. 다른 번호에서 온 것처럼 보이는 문자 메시지를 보내는 것은 상대적으로 쉬운 작업이며, 실제로 이렇게 보내야하는 이유가 있다.

만약 사용자가 PC나 노트북에서 문자를 보내기 위해 아이메시지나 이와 유사한 도구를 사용한 적이 있다면 스스로 SMS 스푸핑 기술을 사용한 셈이다. 그러나 공격자는 SMS 스푸핑을 사용해 문자 내용을 마치 은행에서 보낸 것처럼 하면 휴대폰은 이미 받은 실제 문자와 자동으로 그룹화해 합법적으로 보이게 한다.  

또 하나의 유형은 악성코드를 다운로드하도록 속이려 든다. 이 기술은 이메일 피싱의 한 유형이지만 모바일 사용자와 모바일 기기에 적합하다. 예를 들어, 체코에서 확산된 스미싱 사기는 사용자가 해당 국가의 우편 서비스에서 제공되는 앱을 다운로드하도록 유도했다. 실제로 이는 스마트폰의 다른 앱에 입력된 신용카드 정보를 수집할 수 있는 트로이목마였다.  

이메일보다 문자를 통해 수행되는 이런 유형의 공격은 일반적으로 스마트폰에 애플리케이션을 설치하기가 더 어렵기 때문에 성공하기가 어렵다. 아이폰이나 많은 안드로이드 스마트폰은 애플리케이션 스토어의 서명되고 확인된 애플리케이션만 작동할 수 있기 때문이다. 하지만 안드로이드에서 앱을 우회해서 설치하는 것은 가능하기 때문에 문자메시지를 통해 앱을 설치하도록 하는 사람을 극도로 의심해야 한다.  

마지막으로 누군가에게 돈을 보내도록 속이려 하는 유형이다. 이런 유형의 스미싱은 기술적인 해킹보다 사기꾼 영역에 가깝지만, 특히 이메일을 많이 사용하지 않고 IT를 잘 모르는 이들에게는 중요한 문제다. 해외 은행 계좌에 숨겨져 있는 돈을 이체하려는 나이지리아 왕자가 보낸 이메일에 면역이 되지 않은 이들은 아직도 존재한다. 스미싱 범죄자는 사용자가 자신을 믿게 하려고 몇 가지 일을 꾸민다. 미국 테네시의 한 여성은 정부 보조금에 대한 내용이 담긴 개인 친구로부터 받은 것으로 생각되는 문자 메시지를 받았다(개인 친구의 이름은 페이스북에서 수확됐을 것으로 보인다). 하지만 실제로는 이 문자는 고전적인 ‘사전 수수료(advance fee)’ 사기였다. 피해자는 이 정부 보조금을 얻기 위해 ‘세금’이라는 명목으로 수백 달러를 내야 한다는 말을 들을 것이다.

이런 사기는 피해자의 절망이나 욕심을 악용하는 데 그치지 않고, 반대의 접근 방식을 취해 사용자의 너그러움을 악용하기도 한다. 범죄자 한 명이 미국 루이지애나 피해자에게 마치 지역 교회의 목사인 것처럼 가장해 문자를 보내어 자선 단체를 위해 돈을 모았다. 실제로 이 범죄자는 보내온 현금을 챙겼다.


스미싱의 악영향

공격자는 은행 계좌를 약탈하고, 재무 정보나 위치 정보에 액세스할 수 있는 악성코드를 스마트폰에 설치하거나 불필요한 돈을 쓰도록 속일 수 있다. 더 큰 의미에서 스미싱 범죄는 공공기관이나 금융업체가 오늘날 가장 보편적인 통신 플랫폼 가운데 하나인 문자 메시지를 통한 고객과의 커뮤니케이션을 신뢰하기 어렵게 만든다.


스미싱 관련 통계

구체적으로 스미싱과 관련이 없는 통계일 수 있는데, 문자 메시지의 98%가 읽히고 응답율이 45%라는 점(이메일은 각각 20%, 6%)은 공격자가 이런 유형의 사기를 개발하는 데 많은 노력을 기울이는 이유가 된다. 또한 이메일 피싱과 스팸에 대한 사용자의 의심이 많아져 성공률이 낮아지고 스마트폰이 우리 생활과 밀접해짐에 따라 문자 메시지가 더욱 매력적인 공격 경로가 됐다.   
 
버라이즌 2020 모바일 보안 지수에 따르면, 2019년 3분기 기업 사용자의 15%가 스미싱 링크를 경험했다. 프루프포인트(Proofpoint)의 2020 피싱 현황 보고서에 따르면, 조사 대상 조직의 84%가 스미싱 공격에 직면했다. 이 보고서 응답자의 30%는 스미싱이라는 용어를 알고 있었는데, 이는 지난해 25%에서 증가한 수치다.


스미싱을 막는 방법

프루프포인트 보고서에는 주목할 만한 통계가 하나 있는데, 이는 기업이 어떻게 스미싱 공격을 막을 수 있는가에 대한 핵심이다. 조사 대상 조직의 25%만이 스미싱, 비싱 시뮬레이션을 실행해 직원이 이런 공격을 인식하고 적절히 대응하도록 교육하고 있었다. 이런 시뮬레이션을 실행하는 조직은 실패율이 6%로, 효과가 좋지도 나쁘지도 않은 수치였다.
 
이런 유형의 시뮬레이션은 기업이 직원들이 스미싱 당하지 않도록 훈련시키는 가장 좋은 방법 가운데 하나다. 피싱과 비싱 시뮬레이션을 현재 진행중인 보안 인식 교육의 일부로 구성해야 한다. 시뮬레이션된 스미싱 공격은 훈련 노력을 목표로 하는 데 도움을 줄 수 있어 추가 훈련이 필요한지, 특히 취약한 사용자가 누구인지 분명히 알 수 있다.

회사에서 시뮬레이션을 실행하지 않거나 교육 훈련 프로그램을 실시하지 않아도, 사용자 스스로가 스미싱 공격에 저항하도록 교육할 수 있다. 미국 시애틀의 스타트업 집윕(ZipWhip)은 몇 가지 상식적인 조언을 소개했다.
 
  • 부자연스럽거나 문법적이지 않은 언어를 사용하는 문자 메시지를 주의하라.
  • 사실이기에는 너무 좋아 보이는 제안은 조심하라.
  • 포함된 링크를 클릭하거나 문자 메시지에서 직접 앱을 다운로드하지 마라.
  • 세무서나 공공기관은 문자 메시지로 커뮤니케이션을 하지 않는다.

스미싱을 피하는 법은 피싱 사기를 피하는 법과 동일하다. KISA에서는 스미싱과 관련해 피해시 대응방법에 대해 설명해놓았다(편집자 주). editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.