보안 앱 설치하면 악성 앱으로 둔갑?

아주경제 장윤정 기자= 스마트폰 보안을 강화하려면 ‘보안 앱’을 설치해야 한다고 권유하는 ‘스미싱(Smishing)’이 출현했다. 물론 이 보안 앱을 설치할 경우 악성 앱이 깔려 개인정보 유출 및 소액결제 피해가 발생할 수 있어 사용자들의 주의가 필요하다.

1일 잉카인터넷은 한 단계 지능화된 스미싱 기법이 발견됐다고 밝혔다. 이번 방식은 스미싱 문자메시지에 포함되어 있는 단축 인터넷 주소(URL)를 클릭할 경우 바로 악성 앱(APK)이 다운로드되는 기존 방식에서 나아가 마치 보안 앱 등의 설치를 유도하는 정상적인 안내화면을 보여줘 이용자 스스로 ‘알 수 없는 출처(소스)’의 보안 옵션을 해제하도록 만든다.

잉카인터넷측 설명에 의하면 국내에서 시판되는 대부분의 안드로이드 기반 스마트폰 단말기는 환경설정의 보안옵션에 ‘알 수 없는 출처’라는 디바이스 관리 기능이 있다. 이 기능은 구글 플레이 공식마켓이 아닌 별도의 과정으로 설치하는 앱을 허용하지 않도록 하는 일종의 보안 기능이다.

보안 앱을 깔아야한다며 '알 수 없는 출처' 기능을 해제하지 않도록 유도하는 악성 앱

‘알 수 없는 출처’ 기능이 해제되어 있으면 악성 앱이 깔리지 않기 때문에 최근 공격자들은 보안 앱, 보안 도우미 설치하기 등 스마트폰 보안을 강화하기 위해서는 알 수 없는 출처를 해제하고 해당 앱을 깔아야 한다는 식으로 사용자를 유혹하고 있다.

연일 돌잔치, 결혼첩청장 등 스미싱으로 피해를 봤다는 소식이 떠들썩한 가운데 사용자들의 주의가 강화돼 함부로 앱을 설치하지 않는 심리를 역이용, 악성 앱을 보안 앱이라는 이름으로 바꿔 ‘알 수 없는 출처’를 해제하고 설치하게 하려는 공격 방식이다.

보안 가이드 앱을 깔아야한다며 '알 수 없는 출처' 기능을 해제하지 않도록 유도하는 악성 앱

문종현 잉카인터넷 팀장은 “현재까지 보안 앱, 보안 도우미 설치하기라는 2가지 형태가 몇 차례 발견됐으며 앞으로 유사한 형태가 다수 제작될 것으로 예상된다”며 “평상시 직접 앱을 설치하는 경우가 아닌 경우 가급적 ‘알 수 없는 출처’ 부분은 체크를 해제해 두는 것이 보안상 안전하다”고 말했다. 또 통신사 등에 연락해 소액결제 기능을 차단하는 등 적극적으로 스미싱 피해를 방지하는 것도 좋다.

문 팀장은 “안드로이드 기반 악성 앱이 설치되었을 경우 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상 앱처럼 리패키징하여 위장하는 경우, 추가 악성 앱을 몰래 다운로드하여 설치하는 경우도 발생할 수 있기 때문에 스미싱을 원천적으로 차단할 수 있는 보안 솔루션을 설치해서 사용하는 보안습관이 중요하다”고 강조했다.