오늘은 어제 언급했었던 피싱 메일 공격에 이어서 스미싱 공격에 대해 이야기 해볼까 합니다. 이번에 인용할 기사는 시간이 조금 된 기사지만 스미싱 개념을 설명하기에 적절해서 가져오게 되었습니다. 스미싱도 피싱과 마찬가지로 잘 알려진 공격이기 때문에 대강 잘 알고 계시겠지만, 왜 스미싱을 당하면 스마트폰이 해킹을 당하고 어떤 방식으로 개인정보가 유출되는지.. 이런 내용에 대해 자세히 말씀드리도록 하겠습니다.
우선 스미싱의 뜻부터 설명드리면.. 스미싱(Smishing)은 문자 메시지(SMS)와 피싱(Pishing)의 합성어 입니다. 이전에는 해커들이 PC에서 전자우편.. 즉 대부분 메일을 통해 피싱 공격을 했는데, 스마트폰의 발달로 문자 메시지 또는 카카오톡과 같은 메신저를 통해서도 피싱 공격을 하고 있죠. 사실 이 스미싱 공격도 꽤 오래전부터 진행되어 왔습니다만 코로나로 인해 비대면 서비스가 증가하면서, 이런 스미싱 공격이 더 활발해지고 있고 실제로 속기 쉬워서 조심하셔야 합니다. 어르신들만해도 예전 같았으면 동사무소에 가서 일을 보시던 것을 코로나 때문에, 많은 분들이 스마트폰으로 일을 처리할텐데 이런 문자를 받는다면 의심 없이 링크를 클릭할 수 있기 때문입니다.
그럼 스미싱 공격을 당하면 무슨 일이 일어나는지를 설명드려보죠. 이전에 언급했던 피싱 공격의 경우, 해커가 그럴싸한 사이트를 하나 만들어 놓고 피해자가 그 사이트에 아이디, 비밀번호 같은 개인정보를 입력하게 유도한다..라고 말씀드렸죠. 또는 특정 파일을 다운로드 받아서 실행시키도록 유도해서, 피해자가 이 파일을 실행시키면 랜섬웨어와 같은 악성코드가 실행되어 컴퓨터를 장악할 수 있다고 했습니다.
스마트폰에서 발생하는 스미싱 공격의 경우도 이와 유사합니다. 예를 들어서 보통 문자나 메신저를 통해 택배 주소가 잘못되었다면서 이 URL을 클릭해서 주소를 수정해달라고 메시지를 보냅니다. 그러면 피해자가 해당 URL에 들어가서 이름이나 주민등록번호 같은 개인정보를 입력하도록 유도하죠. 또는 해당 URL에 파일을 다운로드 받아서 실행시킬 수 있도록 파일을 첨부해놓고, "알 수 없는 출처 앱 설치" 설정을 활성화 하게 끔 만든 다음 해당 파일을 실행시키도록 만듭니다.
위의 첫 번째 경우는 이전 글인 '네이버 사칭 피싱 메일 공격 사례'에서도 설명드렸으니 잘 알고 계실거라고 생각하고, 두 번째 경우를 좀 더 자세히 설명드리죠. 일단 iOS가 아닌 안드로이드 스마트폰에 한정해서 설명드리도록 하겠습니다. iOS 같은 경우는 안드로이드에 비해 보안이 강하기 때문인데, 그런 이유로 대부분 해커들이 목표를 안드로이드로 잡고 있습니다. 그래서 보통 이 URL을 눌러서 파일을 다운로드하게 되면 APK 파일을 다운로드 받게 되고 설치하겠냐는 문구가 뜨게 되죠. 이 APK(Android Application Package) 파일은 안드로이드에서 실행하는 설치 파일이다..라고 생각하시면 됩니다.
보통 저희가 앱을 설치할 때는 앱 스토어를 통해 직접 설치를 하는데, 앱 스토어에서 설치할 때도 스마트폰에 APK 파일을 다운로드 받게되고 이 APK안의 내용들을 풀어서 설치하게 됩니다. 정확한 표현은 아니지만 PC 운영체제인 윈도우에서 설치파일을 통해 프로그램을 설치하는 것과 동일하다고 생각하시면 무리가 없을 것 같습니다. 그래서 피해자가 스미싱 문자의 URL을 통해 다운로드 받은 APK 파일 안에는 해커가 스마트폰을 제어할 수 있는 기능을 넣어놓거나, 키로깅, 랜섬웨어와 같이 PC의 악성코드처럼 악의적인 기능이 들어가 있겠죠.. 아직은 PC나 스마트폰에서 악성코드들이 어떻게 세부적으로 동작하는지 말씀을 드리진 않았는데요.. 이 부분에 대해서는 추후 천천히 설명드리도록 하겠습니다.
그래서 여기까지 스미싱 공격의 두 가지 유형에 대해서 설명을 드렸고, 그럼 대응 방법은 어떻게 될까요? 네.. 결국은 의심스러운 문자의 URL은 누르지 말고, 만약 눌렀다하더라도 연결된 사이트 혹은 다운로드 받은 파일을 실행시키지 않기만 하면 큰 문제는 되지 않을 겁니다. 이전에 언급했던 피싱 공격의 대응 방법과도 동일하죠. 요즘은 스마트폰도 모바일 백신이 잘 나오고, 스미싱 가드와 같은 메시지에서 의심스러운 URL을 걸러주는 등 하는 앱들이 굉장히 많아서 설치하시면 피해를 줄일 수 있으실 겁니다.
어제와 오늘 에세이에서 피싱, 스미싱에 대해 설명드렸는데, IT를 주업으로 삼지 않으신 분들은 이정도만 알고 계셔도 충분히 대처하실 수 있으실 겁니다. 워낙 우리 사회가 빠르게 디지털화되어 가고 그에 맞춰 사이버 공격도 증가하고 있기 때문에, 평소에 이런 공격 사례들을 잘 알아두시면 경각심을 가지게 되고 그만큼 피해를 줄일 수 있겠죠. 기회가 된다면 예전에 유행했던 몸캠 피싱과 나날히 교묘해지고 있는 보이스피싱 같은 사례도 설명드리도록 하겠습니다. 오늘은 좀 길어졌는데 다음에는 좀 더 짧고 간결하게 정리할 수 있도록 하겠습니다. 그럼 여기서 마치죠. 감사합니다.
'Security Essay' 카테고리의 다른 글
중고나라 안전결제 사기 사례 (0) | 2021.05.17 |
---|---|
사이트 화면을 변조하는 디페이스 공격 사례 (0) | 2021.05.16 |
네이버를 사칭한 피싱 메일 공격 (0) | 2021.05.14 |
개인정보를 이용한 크리덴셜 스터핑 공격 (0) | 2021.05.13 |
페이스북 개인정보 유출 사례 (0) | 2021.05.12 |
댓글