"진화하는 스마트폰 스미싱…금융정보 탈취까지 노린다"

[아시아경제 김영식 기자]스마트폰 문자메시지를 통해 악성 애플리케이션 설치를 유도하는 '스미싱' 사기수법이 지금까지의 소액결제 유도를 넘어 전자금융거래 정보를 탈취하려는 수준까지 진화하고 있어 주의가 요구된다.

한국인터넷진흥원(KISA)는 20일 최근 2개월 간 신고·접수된 스마트폰 악성 앱을 분석한 결과 소액결제 사기를 위한 SMS 탈취에서 공인인증서 유출, 착신기능 제어를 통한 ARS 인증우회 등 새로운 사기수법으로 변하고 있다고 밝혔다.

KISA에 신고·접수된 스마트폰 악성 앱은 2012년 17건에 머물렀으나 2013년에는 2353건으로 138배 급증했고 올해 들어 2월까지만 해도 596건이 집계되면서 더욱 늘어나는 양상을 보이고 있다.

최근 악성 앱들은 소액결제 사기 목적의 스미싱 외에도 좀비 스마트폰을 만들기 위한 원격제어, 공인인증서 탈취 및 착신기능 제어 등 여러 기능이 하나로 결합되고 있다. 해커 조직이 금전적 이득을 위해 소액결제 뿐만 아니라 상대적으로 큰 금액을 탈취할 수 있는 전자금융거래도 함께 공격하려는 것으로 분석된다.

특히 지난해 12월부터는 100만원 이상의 온라인 이체거래 시 본인확인을 위해 도입한 ARS 인증을 우회할 수 있는 착신제어 기능이 적용된 악성 앱이 계속 발견되고 있어 악성 앱의 공격 방식도 진화하는 것으로 드러났다.

최근 발생한 카드사 개인정보 대량 유출사고와 맞물려 정보유출의 우려도 증가하고 있다. 경찰·법원·지인을 사칭하던 스미싱 문자내용이 '카드사 개인정보 유출 확인'과 같은 사회적 이슈를 악용해 이용자의 불안감을 더욱 가중시키고 있는 것이다.

정현철 KISA 단장은 "진화하는 악성 앱에 대응하기 위해 기존 민원인 신고에 의존하던 악성 앱 수집을 자동화해 악성으로 추정되는 의심스러운 앱을 조기에 수집하고 유포 사이트 및 정보 유출 서버를 신속히 차단할 계획"이라고 밝혔다.

또 "악성 앱을 신속하게 차단하는 것도 필요하지만 무엇보다 이용자 스마트폰이 악성 앱에 감염되지 않도록 스스로 주의하는 것이 중요하다"고 강조했다.

한편 KISA에서는 변종 악성 앱으로부터 스마트폰을 안전하게 지킬 수 있는 8가지 보안 상식을 제시하며 사용자들의 주의를 당부했다.

① 정식 앱 마켓이 아닌 다른 출처(블랙마켓)의 앱 설치 제한하기
② SMS 또는 SNS에 포함된 인터넷 주소 또는 URL 클릭하지 않기
③ 공인인증서는 USIM 등 안전한 저장장소에 보관하기
④ 스마트폰 내 백신 설치 및 실시간 탐지 기능 활성화
⑤ 스마트폰 운영체제를 항상 최신으로 업데이트(보안패치 등)
⑥ 스마트폰 보안 잠금(비밀번호 또는 화면 패턴)
⑦ 스마트폰 플랫폼의 구조를 임의로 변경하지 않기(탈옥하지 않기)
⑧ KISA에서 배포하는 폰키퍼를 설치하여 정기적으로 보안점검 하기

김영식 기자 grad@asiae.co.kr