김윤근 이스트소프트 알약개발부문 알약대응팀장

최근 스마트폰 이용자들을 대상으로 '무료 쿠폰', '무료 이벤트' 등으로 위장한 허위 문자메시지(SMS)를 발송하고 문자메시지에 포함된 인터넷 주소를 통해 사용자 스마트폰을 제어할 수 있는 악성 애플리케이션(앱)을 설치하는 스미싱 공격이 큰 이슈가 되고 있다.

특히 스미싱 공격을 통한 소액결제 사기는 실제적인 금전 피해를 입을 수 있기 때문에 더욱 주의가 필요하다.

기존 모바일 악성코드들은 주로 스마트폰에 저장된 사진이나 주소록과 같은 개인정보 혹은 기기정보 등을 탈취하거나 추가적인 광고성 앱을 설치했다.

하지만 최근 스미싱 공격에 활용되는 악성코드들은 감염된 스마트폰 내에 저장된 개인정보 탈취뿐만 아니라 실시간으로 전달되는 문자메시지를 모니터링하고 특정번호로부터 전달되는 문자메시지를 사용자가 볼 수 없도록 차단하는 기능도 포함하고 있다.

이를 통해 공격자는 사용자의 감염된 스마트폰 정보를 이용해 소액결제를 진행한 후 소액결제 인증문자를 가로채 결제를 한다.

아울러 사용자는 자신의 스마트폰을 통한 소액결제 인증이 발생했는지도 알 수 없도록 하는 경우까지 존재한다.

최근에는 이미 유출된 사용자의 개인정보를 활용하여 해당 사용자의 실명을 포함한 청첩장·동창회 초대장으로 위장하는 공격도 발생하고 있다.

이러한 스미싱 공격을 이용한 소액결제 사기로부터 내 스마트폰을 안전하게 지키는 방법에는 어떤 것이 있을까?

첫째, 발신처가 명확하지 않은 곳으로부터 전달되는 SMS의 인터넷 주소는 되도록 클릭하지 않는다.

둘째, 앱은 구글플레이·통신사 앱 마켓 등 공인된 마켓에서만 다운로드해야 한다. 블로그나 카페에 업로드되는 앱의 경우는 변조된 앱이 많아서 악성코드에 노출될 가능성이 높다.

셋째, 스마트폰에도 항상 신뢰할 수 있는 백신 프로그램을 설치하고 데이터베이스 업데이트를 최신으로 유지해야 한다.

넷째, 현재 이용 중인 통신사의 홈페이지나 고객센터를 통해 스마트폰을 이용한 소액결제 한도를 줄이거나 차단한다.

스마트폰은 우리 삶에 없어서는 안 될 존재로 어느새 다가왔으며 사용자들의 소중한 많은 정보가 집적되어 있는 중요한 자산이다.

스미싱 공격과 같은 보안위협을 효과적으로 예방하는 방법으로 스마트폰 보안은 곧 내 소중한 자산을 지키는 방법이라는 인식을 가지는 것이 무엇보다 중요하다.