앱카드 해킹, 안드로이드폰·아이폰 보안 허점 꿰고 있었다
스미싱의 진화가 '점입가경'이다. 갈수록 수법은 교묘해져 이제는 안전지대가 없다고 여겨질 정도다. 지난해 4월 선보인 새로운 기술인 앱카드는 출시 1년 만에 스미싱의 제물이 됐다. 이처럼 점점 더 위험성이 증가하고 있는 스미싱의 실체는 무엇이며, 이로 인한 피해를 줄일 수 있는 방법은 무엇일까.
스미싱은 주로 웹사이트 링크가 포함된 문자메시지를 보내 휴대폰 이용자가 클릭하면 악성 애플리케이션(이하 앱)이 자동으로 설치되도록 하는 수법이다. 이렇게 설치된 악성 앱을 통해 범죄자는 휴대폰 이용자 모르게 소액결제를 하기도 하고, 개인정보 및 금융정보를 빼돌리기도 한다. 초기의 스미싱은 사전에 유출된 개인정보와 결합해 소액결제를 유도하는 형태였다. 하지만 최근에는 스마트뱅킹 사용자가 늘면서 금융 거래나 결제에 필요한 정보를 탈취해 큰 금전 피해를 입히는 형태로까지 진화했다.
이번 앱카드 해킹이 대표적인데, 이 수법을 들여다보면 보안에 취약한 안드로이드폰에 악성코드를 심어 금융정보를 빼돌린 뒤 앱 설치 시 휴대폰 고유번호를 확인할 수 없는 아이폰에 앱카드를 설치해 몰래 결제하는 형태였다. 안드로이드폰이나 아이폰의 허점에, 앱카드 방식의 보안 취약점까지 정확히 파악한 뒤 정교하게 설계한 공격이었던 셈이다.
그렇다면 스미싱을 예방하는 방법은 뭘까. 보안 전문가들은 한 목소리로 사용자들의 주의를 당부하고 있다. 스미싱은 무심코 클릭한 문자메시지의 링크에서 시작되기 때문이다. 문자메시지나 SNS에 포함된 URL 실행을 자제하는 것이 스미싱 예방의 첫 걸음이라는 얘기다. 또한 모바일 백신으로 스마트폰을 주기적으로 검사해야 하고 시스템 설정에서 '알 수 없는 출처'의 앱을 설치하지 못하도록 잠궈둬야 한다. 신뢰할 수 있는 보안업체 등에서 내놓은 스미싱 탐지 전용 앱을 설치하는 것도 좋은 방법이다.
금융권 관계자는 "최근 스마트폰을 통한 다양한 금융 거래가 늘면서 이를 겨냥한 스미싱도 진화하고 있다"며 "기본적인 보안 수칙을 생활화해 피해를 최소화해야 한다"고 말했다.
김철현 기자 kch@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>