스마트폰 신종 사기, 스마트하게 예방하자

안수영 syahn@itdonga.com

스마트폰 신종 사기… 스마트하게 예방하자.
(2)
스마트폰 신종 사기… 스마트하게 예방하자. (2)

“OO은행입니다. 고객님의 명의가 도용되었습니다. 보안을 위해 사이트에서 개인정보를 입력해 주세요” 최근 A씨는 자주 이용하는 은행에서 명의가 도용되었다는 문자메시지를 받고 깜짝 놀랐다. 해당 문자메시지에는 은행 홈페이지 주소가 포함되어 스마트폰으로 바로 접속할 수 있도록 해 놓았다. 그런데 자세히 보니 홈페이지 주소가 좀 달랐다. 알고 보니 은행에서 온 문자메시지가 아닌, 피싱 문자메시지였다.

최근 스마트폰 피싱이 자주 발생하고 있다. 보이스피싱이 주를 이뤘던 기존 피처폰 피싱과는 달리, 스마트폰 피싱은 문자메시지, 모바일 메신저, 애플리케이션(이하 앱) 등 다양한 수단을 사용한다. 스마트폰의 취약점을 교묘히 이용하는 데다가 그 유형이 아직 대중들에게 많이 알려지지 않아 피해를 보기 쉽다.

문자메시지를 이용한 수법

은행을 사칭해 피싱 문자메시지를 보내고, 가짜 사이트로 유인하는 경우가 있다. 스마트폰에서는 링크된 인터넷 주소를 누르면 바로 사이트로 이동할 수 있다는 점을 노린 것이다. 얼핏 보면 진짜 주소로 착각할 정도로 비슷하기 때문에 제대로 확인하지 않았다가 낭패를 보는 사람들이 많다.

이 가짜 사이트의 겉모습은 주요 은행 홈페이지와 똑같다. 평소처럼 주민등록번호, 계좌번호 등을 입력하게 되면 고스란히 범인에게 개인정보를 넘기는 꼴이 된다. 이들은 이렇게 얻은 개인정보로 공인인증서를 재발급 받고, 계좌에서 돈을 인출한다. 문자메시지 발신처를 실제 은행 연락처로 바꿔놓는 등 교묘한 수법을 쓰기 때문에 속기 쉽다.

모바일 메신저를 이용한 수법

‘카카오톡’, ‘마이피플’ 등 모바일 메신저를 이용한 사기 사건도 많다. 기존 PC 인스턴트 메신저 피싱에서 횡행했던 수법이 모바일 메신저로 확산된 것. 누군가 모바일 메신저로 말을 걸어 돈을 빌려달라고 한다면 피싱일 가능성이 크다. 범인들은 모바일 메신저에서 이름과 사진을 설정하고 지인을 사칭한 뒤, 돈을 빌려달라고 요구한다. 모바일 메신저에서 이름과 사진은 얼마든지 바꿀 수 있고, 상대방 전화번호만 등록하면 대화가 가능하다는 점을 악용한 것이다.

특히 모바일과 PC에서 동기화되는 메신저에서 피해 사례가 많다. PC와 스마트폰에서 동시에 접속할 때, 다중 접속에 대한 안내 알람 기능이 없는 메신저도 있기 때문이다. ‘PC 버전 접속 시 모바일 버전에서 알림 받지 않기’ 기능을 사용할 경우, 범인이 PC에서 메시지를 보내도 당사자는 이를 알지 못할 수 있다.

앱을 사칭하는 수법

스마트폰 악성 앱을 배포해서 해킹을 하는 경우도 있다. 악성 앱을 대중교통 정보 또는 유명 온라인 게임의 보너스 앱인 것처럼 속여, 내려 받기를 유도한다. 이런 악성 앱은 범인이 미리 등록해둔 번호로 문자메시지를 주기적으로 보낸다. 스마트폰 이용자는 자신도 모르는 사이에 결제 대금을 지불하게 되거나 개인정보를 빼앗긴다.

지난 5일에는 카카오톡의 무료 음성통화(m-VoIP) 서비스인 ‘보이스톡’을 사칭한 사기 앱이 등장하기도 했다. 보이스톡은 기존 카카오톡 내에서 사용할 수 있는 서비스로, 별도의 앱은 아니다. 하지만 구글의 오픈마켓에 ‘카카오톡 평생 무료통화 보이스톡’이라는 정체불명의 앱이 등장했는데, 이 앱은 보이스톡 평생 사용을 명목으로 9,800원을 먼저 결제하도록 한다. 하지만 결제한 후에도 무료 음성통화 서비스는 사용할 수 없다. 현재 이 앱은 삭제되었지만, 이와 유사한 종류의 다른 앱이 또 다시 등록될 수 있는 만큼 사용자들의 주의가 필요하다.

분실 스마트폰을 이용하는 수법

분실된 스마트폰을 악용하는 경우도 있다. 스마트폰에 저장된 연락처를 보고 가족, 지인들에게 송금을 요구하는 것은 물론, 스마트폰 내에 있는 개인정보를 조합하기도 한다. 특히 스마트폰에 중요한 정보를 저장한 사람들에게 위험하다.

피해를 예방하려면?

스마트폰 신종 사기… 스마트하게 예방하자.
(2)
스마트폰 신종 사기… 스마트하게 예방하자. (2)

먼저 발신자의 신원을 명확히 확인해야 한다. 피싱 범인이 가장 많이 사용하는 수법은 각종 기관을 사칭하는 것이다. 하지만 공공기관을 비롯해 금융기관, 통신회사 등 국내 어떠한 기관도 전화나 문자를 통해 먼저 개인정보를 요구하지 않는다. 따라서 이런 연락은 100% 피싱일 가능성이 높다. 또 모바일 메신저 대화 중 돈이나 계좌를 언급하는 이야기가 나온다면 반드시 전화를 통해 상대방을 확인해야 한다. 주최가 불분명한 이벤트나 행사에는 응모하지 않아야 하며, 스마트폰 앱을 내려 받을 때는 개발자 정보와 이용자들의 후기를 보고 믿을 만한 앱인지 확인해야 한다.

다음으로 스마트폰 보안 관리에 주의를 기울여야 한다. 스마트폰도 PC처럼 보안 관리를 해야 한다. 특히 안드로이드 OS는 보안에 취약하기 때문에, 주기적으로 백신을 업데이트하는 것이 좋다. 스마트폰에는 잠금 비밀번호를 설정하고, 중요한 정보는 스마트폰에 저장하지 않도록 한다.

만일 피싱에 속아 송금했을 경우 바로 해당 은행을 찾아가야 한다. 계좌 지급정지 신청을 통해 범인이 돈을 인출하지 못하도록 해야 하기 때문이다. 또한 ‘개인정보 노출자 사고 예방 시스템’에 등록을 요청해서, 유출된 개인정보가 신규 예금계좌 개설, 대출 신청, 신용카드 발급 등에 악용되지 않도록 해야 한다. 이렇게 하면 모든 금융회사가 철저한 본인 확인을 요구하게 되어 추가적인 피해를 줄일 수 있다.

글 / IT동아 안수영(syahn@itdonga.com)

IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.