미국에서는 매일 약 4억 건의 스팸 SMS가 발송되고 있습니다. 그 대부분은 은행 계좌 정보, 회사 이메일 주소, 패스워드와 같은 기밀 정보를 훔치기 위해 만들어진 스푸핑 홈페이지로 연결되는 악성 링크가 포함되어 있습니다. 이것이 바로 스미싱의 실체이며, 단 한 번이라도 SMS 사기에 당하면 수억 단위의 손실이 발생할 수 있습니다.
이번 글에서는 스미싱의 위협으로부터 자신을 보호하기 위해 알아야 할 사항들을 알아보겠습니다.
TeamPassword를 사용하면 사이버 범죄자들로부터 계정을 쉽게 보호할 수 있습니다. 지금 바로 14일 무료 평가판에 등록하고 사용해 보세요.
[목차]
스미싱이란?
먼저 스미싱의 정의에 대해 간략하게 설명하겠습니다.
스미싱의 정의: SMS + 피싱의 합성어로, SMS를 통해 악성 링크를 보내 개인으로부터 기밀 정보를 빼내려는 사이버 보안 공격을 말한다.
간단하게 말하자면, 스미싱은 피싱의 진화판이라고 할 수 있습니다. 아래에서 이메일에서 전화, 그리고 현재의 SMS로 이어지는 사이버 공격 수법의 변천을 살펴보겠습니다.
- 피싱은 이메일을 통해 가짜 홈페이지로 유도해 데이터를 탈취하는 것이다.
- 비싱은 음성(Voice) + 피싱(Phishing)의 합성어다. 비슷한 목적으로 전화를 이용해 사이버 공격에 사용할 수 있는 개인정보나 기업 정보를 빼내는 것이다.
- 스미싱은 SMS 메시지의 스팸 방지 기능이 미흡한 점을 악용한 최신 버전의 공격이다.
스미싱의 통계
Robokiller에 따르면, 2023년 12월에만 미국에서 190억 건 이상의 스팸 SMS 메시지가 발송되었으며, 이는 1인당 약 19건에 해당하는 수치입니다. 이 중 대부분은 스미싱 사기가 차지하고 있습니다.
이를 통해 2023년에는 일주일에 약 30억 건, 하루에 4억 건 이상, 1분당 약 30만 건의 SMS 사기 메시지가 전송된 것을 알 수 있습니다.
가장 큰 피해를 입은 주는 캘리포니아, 텍사스, 조지아, 플로리다, 뉴욕입니다.
스미싱의 수법
피싱이나 비싱과 마찬가지로, 스미싱 공격은 보통 보상을 제시하며 링크를 클릭하도록 유도하거나, 혹은 큰 금전적 손실이 발생할 수 있다고 협박하여 클릭을 유도합니다.
또한, 최근 몇 년 사이 이용자가 급격히 증가하여 이제는 일상화된 스마트폰 결제 앱의 피해도 증가하고 있습니다. 자신도 모르는 사이에 부정 송금이 이루어졌다고 해도 구제받지 못하는 경우가 대부분인 것이 현실입니다.
많은 스미싱 공격에서 수신되는 메시지는 "중요한 계정(보통 은행, 스트리밍 서비스 등)이 해킹당했습니다. 지금 확인하지 않으면 큰 피해를 입을 수 있습니다."라는 공포를 조장하는 내용입니다. 물론 아이러니하게도, 만약 그 악성 링크를 무심코 클릭해 스푸핑된 홈페이지에서 자신의 계좌 정보를 입력하면 계좌는 바로 위험에 처하게 됩니다.
스미싱의 사례
위에서 소개한 스미싱 통계가 결코 과장된 수치가 아님을 증명하기 위해 지난 몇 주 동안 필자의 아이폰에서 실제로 발생한 스미싱 사례를 몇 가지 소개하고자 합니다.
아래 사례는 '보상형'과 '경고형'의 두 가지 유형의 스미싱을 모두 포함하고 있습니다.
보상형 스미싱
아래 세 가지 예시 중 위 두 가지 예시에서는 '배송이 불가능한 상황이며, 이 배송을 받으려면 이 (악성) 링크를 클릭하여 추가 정보(예: 주소)를 제공해야 합니다'라는 내용의 메시지가 담겨 있습니다.
세 번째 사례에서는 발신자(사기꾼)가 CRA(캐나다 국세청)를 사칭하여 수취인에게 450달러의 빚이 있으니 INTERAC e-Transfer를 통해 송금하라고 요구합니다. 그리고 그 돈을 받기 위해 은행 계좌 정보를 공개하라고 요구하고 있습니다.
경고형 스미싱
![A smishing SMS message claiming to be Rogers with a warning that a payment could not be processed, which could lead to service interruptions within 24 hours.]](https://lh7-us.googleusercontent.com/othoH8Hmkk-4ayxBPqm8P2_hyRHLh__RdqN1P_w21P80_odu8517hwO7P8qcAd0oH0o4sKaxA7gyNa761pMj2sfL0DiuYdw2FGNeAfUu69s-Ebe-6_BHKGnyOGaduFVeo6LHsbwUjw2efztY_bIWj1ALRFynRMbASC_MCpHNVAb_PA2j9tMv6XCIiPJnOw)
다음은 스미싱 캠페인에 자주 사용되는 수법의 한 예입니다. 첫 번째 사례에서 사이버 범죄자는 캐나다의 대형 인터넷 서비스 제공사업자인 Rogers의 직원이라고 합니다. 논리적으로 생각해보면, 결제가 연체되어 24시간 내에 서비스를 받을 수 없다는 것은 말도 안 된다는 것을 누구나 알 수 있지만, 이러한 메시지는 스미싱의 흔한 수법 중 하나입니다.
신기하게도 '24시간'과 같은 시간적 요소가 추가되면 은행 앱에서 결제 내역을 다시 확인하여 지난번 결제가 완료되었는지 확인하기 위해 악성 링크를 성급하게 클릭할 가능성이 높아집니다.
두 번째 사례는 해커가 캐나다의 대형 은행인 CIBC를 사칭한 사례입니다. 모르시는 분들도 있겠지만, 이 은행이 발행하는 직불카드는 앞 4자리 숫자가 공통적으로 사용됩니다. 이 디테일이 추가되면 모르는 사람에게는 SMS 메시지가 더 합법적으로 보일 수 있습니다.
스미싱 공격을 방지하는 방법
안타깝게도 정부는 스팸메일, 전화, SMS에 대한 강력한 법률을 만들지 못하고 있으며, 인터넷 서비스 제공사업자도 마찬가지로 피싱, 비싱, 스미싱으로부터 고객을 보호할 의무를 다하지 못하고 있는 상황입니다. 이는 막대한 비용이 소요되고, 책임이 발생하면 책임 추궁을 당할 수 있기 때문에 모든 기관이 소극적인 태도를 보이고 있습니다.
결국 매달 수십 건씩 발생하는 SMS 사기로부터 자신을 보호하는 것은 결국 개인에게 달려있다는 뜻입니다. 가장 중요한 것은 무엇보다도 '경각심을 갖는 것' 입니다.
SMS나 이메일을 받았을 때, 그것이 '보상형' 메시지라면 '너무 잘된 이야기'라고 생각해야 합니다. 반대로 공포심을 자극해 행동을 취하게 하려는 것이라면, 일단은 침착하게 지시를 따르지 않는 것이 좋습니다.
일부는 스미싱 공격으로 쉽게 알아챌 수 있는 경우도 있습니다. 예를 들어, 국세청은 비트코인이나 애플 스토어 기프트 카드로 빚을 갚으라고 강요하지 않습니다. 그리고 위의 CIBC 예시처럼 합법적으로 보이는 것에도 사기의 징후가 있을 수 있습니다. URL을 보면 실제 CIBC의 주소가 아닌 것을 알 수 있을 것입니다.
불안하다면 SMS를 닫고 은행 앱에 접속한 후, 이상하다고 생각되면 은행에 전화로 알려야 합니다. (이때 SMS가 아닌 앱에 기재된 전화번호를 사용하세요)
의심스러운 것에 대한 일반적인 교육과 함께 기업은 직원들에게 사이버 보안을 강화하는 데 필요한 도구를 제공할 수 있습니다. 그 중 가장 중요한 것은 각 계정마다 고유하고 강력한 임의의 패스워드를 생성하고 저장하는 패스워드 매니저입니다.
TeamPassword로 스미싱 공격을 방지하세요!
TeamPassword는 모든 사용자 이름과 패스워드를 안전하게 저장합니다. 가짜 웹 주소는 주의가 산만하거나 식별할 수 있는 훈련이 되어 있지 않은 직원으로 속일 수 있지만, 패스워드 매니저를 사용하면 보호된 세부 정보를 입력하라는 메시지가 표시되지 않습니다.
또한, 각 계정마다 고유하고 무작위적이며 강력한 패스워드를 생성하여 안전하게 보관함으로써 한 번의 실수로 모든 인증 정보가 해커에게 노출되는 것을 방지할 수 있습니다. 그리고 동료와 계정을 안전하고 쉽게 공유할 수 있는 방법이 있다는 것은 피싱 이메일에 답장하는 등 안전하지 않은 방법으로 패스워드를 공유하지 않아도 된다는 뜻입니다.
TeamPassword는 여러분의 소중한 계정을 스미싱으로부터 보호합니다. 지금 바로 14일 무료 평가판을 등록하고 사용해 보세요.
