[스마트폰 보안] 스마트폰 스미싱(SMishing) 공격
1.
스마트폰 해킹 기법은 어떤 종류가 있습니까?
스마트폰의 해킹 기법의 종류는 기존 PC의 해킹 기법과 비슷합니다. 여러 가지 해킹 기법이 있는데, 그 중 대표적이라 할 수 있는 종류에 대해서 이야기 해보겠습니다.
첫째로는 트로이목마 바이러스를 이용한 해킹 방법입니다. 이는 일반 앱(어플)에
악성 코드를 심어 배포하는 형태로, 보기에는 일반 앱 형태로 보이나,
뒤로는 개인정보를 빼내는 형태 입니다. 이는 사용자가 신뢰 할 수 없는 사이트나, 신뢰 할 수 없는 메일을 통해 온 앱들을 사용자 부 주위로 설치해서 바이러스에 감염 되도록 합니다.
둘째로는 파밍(Pharming)라는
피싱 기법으로 해커는 악성 코드를 배포해서 금융기관과 같은 사이트에 접속하려고 할 때, 미리 준비해
놓은 가짜 사이트를 띄워서 개인 정보를 탈취하는 방법입니다.
셋째는
스미싱 공격으로 이는 아래 내용들에서 상세하게 나오기 때문에 따로 설명을 하지 않겠습니다.
이 외에도 PC에서
사용하였던 공격 기법들이 발전해, 스마트폰 해킹으로 변형되고 있다.
2.
“스미싱(SMishing) 공격”이란 무엇인가?
스미싱(SMishing)이란 문자메시지를 이용한 새로운 휴대폰 해킹 기법입니다. 이는 금융 사기 보이스피싱의 한 유형이며, 인터넷 보안 회사인 맥아피가
스미싱(SMS+피싱)이라고 명명했습니다. 이 기법은 휴대폰 사용자에게 웹사이트 링크 포함하는 문자 메시지를 보내 휴대폰 사용자가 웹사이트에 접속하면
트로이 목마 바이러스를 주입해 인터넷 사용이 가능한 휴대폰을 통제할 수 있게 만든 것입니다. 아래는
네이버 지식백과와 위키 백과 사전에서 스미싱을 어떻게 정의 되어 있는지를 보여주는 내용입니다.
|
문자메시지 피싱(SMS phising, 스미싱)은 문자메시지를 이용한 피싱이다. 신뢰할 수 있는 사람 또는 기업이 보낸 것처럼 가장하여 개인비밀정보를 요구한다. 스마트폰이 대중적으로 보급되자 부각되었다. |
[위키피디아]
|
문자메시지를 이용한 새로운 휴대폰 해킹 기법이다.인터넷 보안회사인 맥아피가 스미싱(SMS+피싱)이라고 명명한 이 기법은 휴대폰 사용자에게 웹사이트 링크를 포함하는 문자 메시지를 보내 휴대폰 사용자가 웹사이트에 접속하면 트로이목마를 주입해 인터넷 사용이 가능한 휴대폰을 통제할 수 있게 만든다. 인터넷 전문분석기관 가트너는 모바일 바이러스나 웜이 2008년 이전에는 출현하지 않을 것으로 전망했으나 스미싱 출현으로 안심할 수 없게 됐다고 밝혔다. |
[네이버 지식백과]
요즘에는 문제메시지에서 발전해 스마트폰 메신저
입인, 카카오톡이나 라인으로도 비슷한 형태로 출처를 알 수 없는
URL들을 보내 해킹을 하기도 합니다.
3.
“스미싱(SMishing) 공격”의 원리.
스미싱은 위에서도 애기했듯이 문자 메시지를 기반으로 이루어 집니다. 그래서 해커는 SMS/MMS 등과 같이 메시지를 타겟 사용자에게
보내고, 타켓 사용자가 첨부된 링크를 클릭하게 되면, 악성코드가
포함된 앱을 다운로드, 해커는 그때부터 자유로이 타켓 사용자의 스마트폰을 조정 하게 되고, 개인 사용자 정보을 훔쳐 결제로 금전적 손실을 입히도록 하는 원리이다. 마치
사용자 스마트폰에 트로이 목마 같은 악성코드를 배포하는 것과 유사합니다. 이 악성 앱을 통해 해커는
스마트폰의 문자 수신알람, 카메라 등과 같은 스마트폰의 모든 기능을 제어하게 됩니다. 아래
[그림 1]은 해당 내용을 이해하는데 도움이 될 것입니다.
[그림 1 – 스미싱 피해 원리]
[그림 2- 스미싱 금융사기 흐름도]
위 [그림 2]는 금융사기 흐름도입니다. 이는 아래와 같은 시나리오를 나타냅니다. [그림 2]에 대한 내용은 아래와 같습니다. 그림과 같이 보시면 스미싱 흐름에 대해 이해하기 쉬울 것 입니다.
|
- 악성
앱 제작자가 사전에 수집한 개인정보를 기반으로 특정 사용자들에게 악성앱 설치용 문자 메시지를 방송합니다. |
위 와 같은 형태로 해커는 스미싱을 이용해서 스마트폰을 해킹, 금융사기를 저지릅니다.
4.
최근 “스미싱(SMishing)
공격”의 사례.
스미싱 공격은 금융기관, 꽁짜 쿠폰, 환급금
등과 같은 형태로 문자 메시지를 보내 공격을 시도하는데, 몇 달 전에 저 또한 이런 문자를 받아 봤습니다.
kb국민은행을 가장한 문제 메시지 입니다. 국민은행을 자주 이용하는 저로서는 빨리 확인해야 했습니다. 그래서
무심코 url을 눌렀는데, 페이지를 찾을 수 없다고 나왔습니다. 그래서 이상하다 싶어, url 주소를 확인해 보니, kb국민은행 같은 경우는 kbstar.com을 이용하는데, 문자 메시지로 온 url은
kbgfbank.com으로 와서 확인해 보니 스미싱이였단 걸 알았습니다. 다행이 url이 온 서버가 죽어서 2차 피해는 입지 않았지만, 위와 같이 금융기관을 사칭해서 사용자들의 스마트폰을 공격하려 사례가 많이 있습니다.
아래 그림들은 다양한 형태의 문자메시지 들을 보여 줍니다.
5.
“스미싱(SMishing) 공격”에 대한 대책.
스미싱 공격은 안드로이드 기반의 스마트폰이 제일 위험합니다. 안드로이드 같은 경우, 오픈소스 기반이다 보니, OS자체의 공격점을 찾아 공격이 가능하며, 또한 앱스토어를 통해 앱을 설치하지 않아도, 동적으로 설치를 할
수 있기 때문에 악성 앱들이 설치되, 공격 당할 확률이 높다 볼 수 있습니다. 그에 반해, iOS같은 경우 애플에서 관리하고, 또한 앱들도 등록하려면 애플 심사를 거쳐야 하기 때문에 안드로이드에 피해 스미싱 공격의 피해를 조금 줄일 수
있습니다.
안드로이드 사용자 같은 경우, 미확인 앱이 설치되지 않도록 스마트폰 보안설정을 해서 관리하는
것이 좋습니다.
[그림 3 – 안드로이드 보안설정 화면]
[그림 3]과 같이 스마트폰 보안 설정을 해서 사용하도록 하고, 가급적이면 앱 다운받는 것도 구글 스토어, T스토어, 올레스토어 등과 같은 알려진 스토어에서 받도록 하는 것이 좋습니다. 또한, [그림 4]와 같이 백신 앱과 같은 앱을 다운받아 의심스러운 앱이 있는지 주기적으로 바이러스 검사를 하는 것이 좋습니다.
[그림 4 – V3 모바일 2.0 화면]
사용자가 스미싱 공격에 노출되지 않도록 좀 더 신경 쓰고, 스스로 관리를 해야 합니다.
