한국인터넷진흥원(KISA)는 20일 최근 2개월 간 신고·접수된 스마트폰 악성 앱을 분석한 결과 소액결제 사기를 위한 SMS 탈취에서 공인인증서 유출, 착신기능 제어를 통한 ARS 인증우회 등 새로운 사기수법으로 변하고 있다고 밝혔다.
최근 악성 앱들은 소액결제 사기 목적의 스미싱 외에도 좀비 스마트폰을 만들기 위한 원격제어, 공인인증서 탈취 및 착신기능 제어 등 여러 기능이 하나로 결합되고 있다. 해커 조직이 금전적 이득을 위해 소액결제 뿐만 아니라 상대적으로 큰 금액을 탈취할 수 있는 전자금융거래도 함께 공격하려는 것으로 분석된다.
특히 지난해 12월부터는 100만원 이상의 온라인 이체거래 시 본인확인을 위해 도입한 ARS 인증을 우회할 수 있는 착신제어 기능이 적용된 악성 앱이 계속 발견되고 있어 악성 앱의 공격 방식도 진화하는 것으로 드러났다.
정현철 KISA 단장은 "진화하는 악성 앱에 대응하기 위해 기존 민원인 신고에 의존하던 악성 앱 수집을 자동화해 악성으로 추정되는 의심스러운 앱을 조기에 수집하고 유포 사이트 및 정보 유출 서버를 신속히 차단할 계획"이라고 밝혔다.
또 "악성 앱을 신속하게 차단하는 것도 필요하지만 무엇보다 이용자 스마트폰이 악성 앱에 감염되지 않도록 스스로 주의하는 것이 중요하다"고 강조했다.
한편 KISA에서는 변종 악성 앱으로부터 스마트폰을 안전하게 지킬 수 있는 8가지 보안 상식을 제시하며 사용자들의 주의를 당부했다.
① 정식 앱 마켓이 아닌 다른 출처(블랙마켓)의 앱 설치 제한하기
② SMS 또는 SNS에 포함된 인터넷 주소 또는 URL 클릭하지 않기
③ 공인인증서는 USIM 등 안전한 저장장소에 보관하기
④ 스마트폰 내 백신 설치 및 실시간 탐지 기능 활성화
⑤ 스마트폰 운영체제를 항상 최신으로 업데이트(보안패치 등)
⑥ 스마트폰 보안 잠금(비밀번호 또는 화면 패턴)
⑦ 스마트폰 플랫폼의 구조를 임의로 변경하지 않기(탈옥하지 않기)
⑧ KISA에서 배포하는 폰키퍼를 설치하여 정기적으로 보안점검 하기
김영식 기자 grad@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>