By DAVID NIELD, WIRED US

인터넷 보안을 위협하는 여러 요소 중 하나는 스미싱이다. 스미싱은 해커 세력이 피해자가 접속이나 상세 개인 정보, 로그인 정보 등을 공개해서는 안 되는 링크에 접속하도록 속이고자 텍스트 메시지를 악용해 개인 데이터나 금전을 갈취하려는 공격 수법이다.

스미싱은 피해자가 각종 위협에 취약한 상태에 노출되도록 하는 반응을 서서히 얻고자 하는 피싱 이메일이라는 이름에서 유래됐으나 SMS를 통해 피해자 휴대전화에 직접 위험한 메시지를 전송한다는 차이가 있다. 결과적으로 피해자는 사기 피해를 겪을 확률이 더 높아진다.

스미싱 공격 피해는 누군가가 피해자 은행 계좌 정보에 접근하거나 SNS 계정 정보를 확보했는가에 따라 매우 심각하며, 피해 정도가 다양하다. 그러나 살펴보아야 할 경고 징후나 예방 대책을 알고 있다면, 스미싱 공격 피해를 겪지 않을 수 있다.
 
스미싱 공격 개시 과정
스미싱 공격 시도는 이전에 SMS 텍스트 메시지를 통해 이루어졌으나 왓츠앱부터 인스타그램 등 각종 메시지 플랫폼에서도 발생할 수 있다. 종종 메시지 수신자가 클릭하거나 수신자가 직접 반응을 보이리라 예측한 링크를 함께 첨부한다. 그러나 스미싱 공격의 영향을 받은 몇 가지 반응이 있어야만 피해가 발생한다. (단순한 메시지 수신 행위만으로 피해를 보지 않는다.)

첫 번째로 마주하게 될 수도 있는 공격 유형은 의심스러운 웹사이트 링크이다. 악성 링크가 접속하도록 유도하는 웹사이트는 유명 기업 웹사이트나 SNS 네트워크를 모방한다. 메시지 수신자가 메시지에 첨부된 링크를 따라 웹사이트에 접속하면, 사용자 이름과 비밀번호를 입력해야 한다. 그러나 의심스러운 웹사이트에 로그인하는 행위보다는 가짜 웹사이트를 설정할 때, 상세 로그인 정보를 수집하고는 악용한다.

두 번째로 마주하게 될 공격 유형은 위험한 앱을 다운로드하거나 웹 브라우저에서 실행하는 것이다. 희소식이 있다면, 휴대폰이 상당수 멀웨어 앱을 자동으로 차단한다는 사실이다. 특히, 아이폰에서는 승인되지 않은 앱 설치가 매우 어렵다. 하지만, 여전히 의문의 메시지를 받게 될 때, 앱 안전성을 신중하게 살펴봐야 한다.

세 번째로 마주하게 될 공격 유형은 개인 정보나 금융 정보를 직접 요청하는 메시지이다. 이러한 메시지 유형은 특정 웹사이트에 사용할 목적으로 직접 텍스트 메시지로 상세 금융 정보나 상세 로그인 정보 전달을 요청한다. 사기성 웹사이트로 경로를 재지정하고, 메시지 수신자가 건넨 상세 정보는 주로 피해자 금전 갈취나 정보 탈취 의도를 지닌 스미싱 공격자가 직접 건네도록 한다. 

경고 징후
언제든지 접하게 될 모든 스미싱 공격을 하나씩 감지하고자 누구나 활용할 수 있는 풀 프루프 가이드를 제공할 수는 없으나 몇 가지 주의해야 할 경고 징후가 있다. 그중 한 가지는 올바른 포맷 설정이 이루어지지 않거나 비정상적인 문자를 포함한 메시지이다. 간혹 기업이나 자동화 서비스를 통해 발신된 정상적인 메시지일 수도 있으나 스미싱 시도일 수도 있으므로 신중하게 살펴보아야 한다.

개인이든 기업이든 링크가 삽입된 메시지를 보내야 할 필요성은 거의 없다. 따라서 링크가 삽입된 메시지는 의심해야 한다. 스미싱 메시지는 여전히 어디서나 등장할 수 있다. 만약, 문제성 메시지가 아니라면, 보통 계정 인증이나 질문 혹은 누군가와의 활성화된 대화가 드러날 것이다.

다수 스미싱 메시지에서 드러나는 또 다른 의심스러운 징조는 긴급함이다. 스미싱 메시지 상당수가 메시지 수신자에게 빠른 대응을 요청하거나 대응 시간을 제한해, 의심하지 않도록 한다. 또한, 즉각적인 관심을 유도할 충격적이거나 논란이 되는 대화를 통해 링크에 접속하도록 유혹할 수 있다. (메시지 수신자가 온라인에 유출되었다고 속이는 영상을 동원한 수법을 예시로 언급할 수 있다.)

혹은 선물 당첨과 같이 반응을 유도할 보상을 제공하거나 의심스러운 계정으로 분류되었다는 내용과 같은 경고로 위장하기도 한다. 결과적으로 스미싱 공격 세력은 피해자가 스미싱 문자에 반응을 보이기를 원한다.

기기 보호 상태 유지
스미싱 보호를 위한 보안 조언은 여러 가지 사이버 보안 위협으로부터 개인 기기를 보호하도록 안내하는 조언과 그리 다르지 않다. 스마트폰 소프트웨어와 웹 브라우저를 최신 버전으로 유지하는 것이 중요하다. 스미싱 공격 세력 대부분 안드로이드와 iOS, 크롬, 사파리 등에 설치된 보안 기능으로 차단하도록 확인해야 한다.

피싱 공격과 마찬가지로 메시지가 의심스럽다면, 발신자에게 직접 연락해보아라. 은행을 사칭한 메시지를 받았다면, 메시지에 첨부된 링크에 접속하지 않고 공식 경로를 통해 은행에 문의하라. 메시지가 의심스러운 메시지가 맞는지 재빨리 판단할 수 있어야 한다.

또 다른 조언은 서둘러 메시지에 답변하거나 의심스러운 링크에 접속하지 않는 것이다. 많은 이들이 스마트폰을 가장 빠른 속도로 실행하면서 간혹 스마트폰을 통한 활동에 완벽히 집중하지 않으면서 보안 위협을 간과한다. 앞서 언급한 바와 같이 스미싱 문자 다수가 빠른 반응을 유도한다. 스미싱 공격 세력이 던진 미끼를 물지 않도록 조심하라.

대다수 스미싱 공격은 어느 정도 신속하면서도 간단한 웹 검색 과정만으로도 스미싱 문자인지 파악할 수 있다. 만약, 은행을 사칭한 문자나 스트리밍 서비스 계정이 차단되었다는 문자, 특정 유통사가 보낸 선물 카드 문자를 받았다면, 스미싱 문자임을 알아차릴 수 있다. 의심스러운 문자를 받았을 때, 타인도 똑같은 문자를 받았을 수도 있다. 그리고, 온라인에서 메시지 경고 내용을 찾을 수도 있다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
How to Guard Against Smishing Attacks on Your Phone