스미싱이란?

스미싱은 SMS(문자 메시지)를 통해 개인을 표적으로 삼는 사이버 공격을 의미합니다. 이 용어는 'SMS'와 '피싱'의 합성어입니다.

스미싱 공격에서 사이버 범죄자는 사기성 문자 메시지를 보내 피해자가 개인정보 또는 금융 정보를 제공하거나, 악성 링크를 클릭하거나, 유해한 소프트웨어 또는 애플리케이션을 다운로드하도록 유도합니다. 이메일 기반의 피싱 공격과 마찬가지로, 이 문자 메시지들은 신뢰할 수 있는 출처에서 발신된 것처럼 보이는 경우가 많으며, 긴박함, 호기심, 두려움 같은 사회공학적 기법을 이용해 수신자가 원치 않는 행동을 하도록 조작합니다.

전 세계 35억 대 이상의 스마트폰 중 대부분은 전 세계 어디서든 문자 메시지를 받을 수 있습니다. 많은 사용자가 이메일 속 링크를 클릭하는 것의 위험성은 잘 알고 있지만, 문자 메시지 속 링크를 클릭하는 것의 위험성을 인지하고 있는 사람은 상대적으로 적습니다. 사람들은 문자 메시지를 훨씬 더 신뢰하기 때문에, 스미싱은 자격 증명, 은행 정보, 개인 정보를 노리는 피싱 공격자들에게 종종 수익성이 높은 범죄가 되기도 합니다.

대부분의 스미싱 수법은 이메일 피싱과 유사합니다. 이 수법은 기술적 조작과 심리적 기법을 결합해 피해자를 속이며, 일반적인 과정은 다음과 같습니다.

1. 대상 선정: 사이버 범죄자는 공격 대상을 선택합니다. 이 단계에서는 무작위로 대량의 전화번호 목록을 사용하기도 하고, 과거 해킹으로 인한 유출 사건이나 다크웹에서 판매된 정보를 바탕으로 특정 개인을 노리기도 합니다.
2. 메시지 제작: 공격자는 긴박함, 두려움, 호기심 같은 특정 감정을 자극하는 속임수 문자 메시지를 만듭니다. 이 메시지에는 보통 링크 클릭이나 특정 번호로 전화하기 같은 행동 유도 문구가 포함됩니다.
3. 메시지 전송: SMS 게이트웨이, 발신자 위조 도구, 감염된 기기 등을 이용해 공격자는 준비한 스미싱 메시지를 선택한 대상에게 발송합니다.
4. 상호작용 유도: 메시지는 피해자가 행동을 취하도록 유도합니다. 제공된 링크를 클릭하거나, 개인정보를 회신하거나, 특정 번호로 전화를 거는 등의 행위가 이에 해당합니다.
5. 데이터 수집 또는 멀웨어 배포: 피해자가 공격자의 의도대로 반응할 경우 여러 가지 결과가 발생할 수 있습니다. 사기성 웹사이트로 이동해 개인정보나 금융 정보를 입력하거나, 자신도 모르게 악성 소프트웨어를 기기에 설치할 수도 있습니다. 특정 번호로 전화를 걸 경우, 공격자가 직접 정보를 빼내거나 피해자에게 요금을 부과할 수도 있습니다.
6. 탈취한 정보 활용: 공격자는 수집한 정보를 신원 도용, 불법 거래, 데이터 판매, 추가 공격 등 다양한 악의적 목적으로 사용합니다.
7. 추적 회피: 공격을 들키지 않고 지속하기 위해, 공격자는 전술을 계속 바꾸고, 다른 전화번호를 사용하며, 신원과 위치를 숨기는 다양한 기법을 활용합니다.

스미싱 사기범들은 사용자가 스스로 민감한 정보를 넘기도록 다양한 수법을 사용합니다. 예를 들어, 공개된 온라인 도구에서 얻은 대상자의 기본 정보(이름, 주소 등)를 활용하여 해당 메시지가 신뢰할 수 있는 출처에서 온 것으로 착각하게 만들 수 있습니다.

또한 이들은 사용자의 이름과 위치를 직접 언급해 메시지의 신뢰성을 높입니다. 이후 공격자가 제어하는 서버로 연결되는 링크를 제시하는데, 이 링크는 자격 증명 탈취 사이트이거나 스마트폰 자체를 감염시키도록 설계된 멀웨어로 이어질 수 있습니다. 멀웨어가 설치되면 공격자는 사용자의 스마트폰 데이터를 엿보거나 민감한 정보를 은밀히 서버로 전송할 수 있습니다.

사회공학 기법이 스미싱과 결합되면 공격은 더욱 강력해집니다. 예를 들면, 공격자는 먼저 전화를 걸어 개인정보를 요구한 뒤, 이후 문자 메시지를 보낼 수 있습니다. 전화 통화로 미리 얻은 정보는 스미싱 공격에 사용될 수 있습니다. 일부 통신사는 이미 알려진 사기 번호로 전화가 걸려올 경우 스마트폰 화면에 '스팸 위험' 표시를 띄워 사회공학적 범죄를 차단하려 노력하고 있습니다.

Android와 iOS의 기본 보안 기능은 일반적으로 멀웨어를 차단하는 데 효과적이지만, 아무리 강력한 보안 기능이 있더라도 사용자가 자발적으로 알 수 없는 번호에 개인정보를 넘겨버린다면 이를 막을 수는 없습니다.

기존의 피싱 공격이 점점 더 정교해지는 것처럼, 스미싱 수법도 다양한 형태로 진화하고 있습니다. 대표적인 유형은 다음과 같습니다.

• 계정 인증 사기: 은행이나 배송업체처럼 잘 알려진 회사·서비스 제공자를 사칭한 메시지를 보내 “무단 활동이 감지되었다”거나 “계정 정보를 확인해야 한다”는 식으로 확인을 유도합니다. 사용자가 링크를 클릭하면 가짜 로그인 페이지로 이동하여 계정 정보를 도용당할 수 있습니다.
• 경품·복권 사기: 공격자는 피해자에게 “당첨되었다”는 메시지를 보내 개인정보를 제출하거나 소액의 수수료를 지불하거나 악성 링크를 클릭하게 만듭니다. 목표는 민감한 정보를 탈취하거나 금전을 편취하는 것입니다.
• 기술 지원 사기: “기기나 계정에 문제가 있다”는 경고 메시지를 보내 기술 지원 번호로 연락하도록 유도합니다. 전화를 걸면 과금되거나, 공격자가 원격 접속을 요구해 데이터 탈취로 이어질 수 있습니다.
• 은행 사기 알림: 메시지는 피해자가 거래하는 은행에서 발송한 것처럼 보이며 ‘무단 거래’나 ‘의심스러운 활동’을 경고합니다. 사용자는 링크를 클릭하여 거래 내역을 확인하거나 번호로 전화를 걸라는 메시지를 받게 됩니다.
• 세금 사기: 세금 신고 기간에 자주 발생하는 유형으로, 세무 기관을 사칭해 환급을 약속하거나 미납 세금에 벌금을 부과하겠다고 협박하여 개인정보나 금융 정보를 제출하도록 압박합니다.
• 서비스 해지 알림: 넷플릭스 같은 스트리밍 서비스나 소프트웨어 구독 서비스가 “결제 문제로 인해 곧 해지된다”는 경고를 보냅니다. 이를 해결하려고 링크를 누르면 피싱 페이지로 연결됩니다.
• 악성 앱 다운로드: 유용하거나 재미있는 앱을 가장해 메시지를 보내고, 제공된 링크를 클릭하면 악성 앱이 설치되어 기기가 감염됩니다.

이러한 스미싱 수법을 미리 알고 있으면 피해를 예방하는 데 큰 도움이 됩니다. 낯선 문자나 의심스러운 메시지를 받으면 항상 주의 깊게 확인하고, 반드시 공식 연락처를 통해 사실 여부를 확인하며, 모르는 발신자가 보낸 링크를 클릭하거나 파일을 다운로드하지 않아야 합니다.

스미싱, 피싱, 비싱의 차이점을 이해하는 것은 다양한 사이버 위협에 대비하고 스스로를 보호하는데 매우 중요합니다. 이들은 모두 사이버 범죄자가 민감한 정보를 빼내기 위해 사용하는 사기 수법이지만, 각 접근 방식은 서로 다른 매체와 방법을 사용하여 공격을 수행합니다.

스미싱

• 매체: SMS(문자 메시지)
• 방식: 공격자가 속이는 문자 메시지를 보내 피해자가 개인정보 또는 금융정보를 제공하거나, 악성 링크를 클릭하거나, 유해한 소프트웨어를 설치하도록 유도함.
• 예시: 수신자에게 의심스러운 은행 거래에 대해 경고하며 계좌 확인을 위해 링크를 클릭하도록 유도하는 문자 메시지.

피싱

• 매체: 주로 이메일이지만 악성 웹사이트나 소셜 미디어가 포함되기도 함.
• 방식: 사이버 범죄자들은 신뢰할 수 있는 기관에서 보낸 것처럼 위조된 이메일을 보내며, 여기에 악성 링크나 첨부파일을 포함시켜 피해자가 로그인 정보나 카드 정보를 입력하도록 속임.
• 예시: 유명 전자상거래 사이트를 사칭한 이메일 보안 침해로 인해 사용자에게 비밀번호를 재설정하도록 요청하여 가짜 로그인 페이지로 연결.

비싱 (보이스 피싱)

• 매체: 음성 통화(일반 전화 또는 인터넷 전화 VoIP).
• 방식: 공격자가 은행, 세무서 같은 기관을 사칭해 전화를 걸고, 대화 중에 직접 민감한 정보를 빼냄.
• 예시: 국세청 직원이라고 사칭하여 피해자가 체납 세금을 갚지 못했고 즉시 납부하지 않으면 법적 결과에 직면하게 될 것이라고 협박함.

정리하면, 피싱은 주로 이메일과 웹사이트를 통한 광범위한 사기 수법이고, 스미싱은 그중 문자 메시지를 이용한 형태이며, 비싱은 전화 통화를 악용한 방식입니다.

많은 공격자들은 이메일 주소를 이용해 문자 메시지를 자동으로 발송하고 탐지를 피합니다. 발신자 ID에 표시되는 전화번호는 보통 Google Voice 같은 온라인 인터넷전화(VoIP) 서비스에 연결되어 있어, 번호의 실제 위치를 조회할 수 없습니다.

아래 이미지는 스미싱 수법의 한 예시입니다. 공격자는 국세청(IRS)을 직원을 사칭하여 수신자가 문자 메시지에 있는 번호로 전화하지 않으면 체포 및 금전적 피해를 입히겠다고 협박합니다. 피해자가 전화를 걸면 돈을 송금하도록 속입니다.

좀 더 일반적인 스미싱 수법은 유명 브랜드 이름과 해당 브랜드의 공식 사이트처럼 보이는 링크를 함께 사용하는 방식입니다. 보통 공격자는 사용자가 상금에 당첨되었다고 속이거나, 배송 추적을 빙자해 악성 링크를 전달합니다.

위와 같은 메시지에서 사용된 표현은 스미싱 수법을 아는 사용자라면 경고 신호로 인식할 수 있습니다. 그러나 많은 사용자는 SMS 메시지를 신뢰하는 경향이 있으며 비공식적인 문체라도 크게 의심하지 않습니다.

또 다른 경고 신호는 URL입니다. 해당 링크는 공식 FedEx 주소가 아니지만, 모든 사용자가 브랜드의 공식 URL을 잘 아는 것은 아니기에 이를 간과하기 쉽습니다.

공격자가 FedEx를 사칭한 메시지를 활용하는 이유는 택배 배송량이 많기 때문입니다. 수천 명에게 메시지를 보내면 그 가운데 많은 사람을 속일 가능성이 높습니다.

이 링크는 일반적으로 악성코드를 호스팅 하는 사이트로 연결되거나 사용자에게 계정 로그인을 유도합니다. 인증 페이지는 공식 FedEx 사이트가 아니지만, 스마트폰 브라우저에서는 전체 URL을 확인하기 어려운 편이며 많은 사용자가 확인조차 하지 않습니다.

스미싱 공격자는 사용자에게 예상치 못한 메시지를 보내며, 개인정보를 입력하면 상금을 주겠다고 속여 피해자를 유인하기도 합니다. 아래 이미지는 Amazon 브랜드를 사칭한 또 다른 스미싱 수법 사례입니다.

앞선 사례에서 알 수 있듯, 메시지에 사용된 표현은 수신자가 의심을 가져야 마땅하지만, 많은 사용자는 문자 메시지라는 비공식적인 대화를 신뢰하는 경향이 있습니다. 해당 메시지의 링크는 Amazon과 전혀 관련 없는 .info 사이트로 연결되어 있습니다.

해당 도메인은 이미 삭제되어 접근할 수 없지만, 링크는 아마도 계정 정보 같은 민감한 데이터를 수집하려는 페이지로 연결되었을 가능성이 큽니다. 이러한 공격용 URL은 일반적으로 공격자가 제어하는 서버로 리디렉션 되어 피싱 콘텐츠를 보여주도록 설계됩니다.

대표적인 스미싱 수법을 바탕으로 한 추가적인 예시는 다음과 같습니다.

• 은행 사기: “[은행명] 고객님, 계좌에서 비정상적인 활동이 감지되었습니다. 거래를 확인하려면 [악성 링크]를 클릭하세요.”
• 택배 사기: “안녕하세요, [택배사]입니다. 오늘 고객님의 물품을 배송하지 못했습니다. 재배송 일정을 예약하려면 [악성 링크]를 방문하세요”
• 계정 인증 사기: “알 수 없는 위치에서 로그인 시도가 감지되었습니다. 본인이 아니라면 [악성 링크]에서 계정을 보호하세요.”
• 이벤트 당첨 사기: “축하합니다! 당신은 이번 이벤트의 행운의 당첨자입니다! 보상을 받으려면 여기서 등록하세요: [악성 링크]”
• 긴급 상황 사기: “가족 중 한 분이 사고를 당했습니다. 자세한 내용을 확인하려면 이 유료 번호로 전화하세요: [악성 전화번호]”

위 사례들에서 보듯, 대부분의 스미싱 공격은 인간 심리를 파고드는 사회공학적 기법을 기반으로 하고 있습니다.

이메일 피싱과 마찬가지로, 스미싱을 예방하려면 사용자가 스미싱 공격을 식별하고 해당 메시지를 무시하거나 신고할 수 있는 능력이 중요합니다. 일부 통신사는 이미 알려진 사기 번호에서 발송된 메시지를 수신자에게 경고하거나 아예 차단하기도 합니다.

스미싱 사기 감지하는 방법

스미싱 메시지는 사용자가 링크를 클릭하거나 공격자에게 개인정보를 제공할 경우에만 위험합니다. 아래는 스미싱을 식별하고 피해를 예방하는 몇 가지 방법입니다.

• 메시지에는 개인 정보를 입력한 후에 경품 당첨이나 현금 수령처럼 빠르게 돈을 벌 수 있다는 내용을 담고 있습니다. 쿠폰 코드를 미끼로 쓰는 사례도 흔합니다.
• 금융기관은 결코 문자 메시지로 인증 정보나 송금을 요구하지 않습니다. 신용카드 번호, ATM 비밀번호, 은행 계좌 정보를 문자로 절대 보내서는 안 됩니다.
• 자신이 모르는 번호에는 응답하지 않아야 합니다.
• 몇 자리 숫자로만 구성된 발신자 번호는 스팸일 수 있는 이메일 주소에서 발송되었을 가능성이 높습니다.
• 스마트폰에 저장된 금융 정보는 공격자들의 주요 표적이 될 수 있습니다. 기기에 악성코드가 설치되면 해당 정보가 쉽게 탈취될 수 있으므로, 금융 정보를 모바일 기기에 보관하지 않는 것이 좋습니다.
• 통신사에서는 스미싱 공격을 신고할 수 있는 번호를 제공합니다. 다른 사용자들을 보호할 수 있도록 받은 메시지를 해당 번호로 전달하여 조사가 이뤄지도록 하세요. 또한 미국 연방통신위원회(FCC) 역시 문자 메시지 사기에 대한 신고를 접수하고 조사를 진행합니다.

스미싱 공격을 예방하는 방법

스미싱 공격은 매우 광범위하게 발생하기 때문에, 이를 막기 위해서는 기술적·조직적·개인적 대응이 모두 필요합니다. 각 범주별 해결책을 살펴보면 다음과 같습니다.

기술적 대응:

• SMS 필터링: 많은 스마트폰과 이동통신사에서는 의심스러운 문자를 식별하여 차단하거나 경고 표시를 해주는 SMS 필터링 기능을 제공합니다.
• 다중 인증(MFA): 공격자가 스미싱을 통해 일부 계정 정보를 얻더라도, 다중 인증을 사용하면 추가 보안 장치가 되어 계정을 보호할 수 있습니다.
• 안티피싱 도구: 일부 모바일 보안 애플리케이션은 문자 메시지에 포함된 피싱 링크를 탐지해 사용자가 악성 사이트에 접속하지 못하도록 막을 수 있습니다.

조직적 대응:

• 교육과 인식 제고: 스미싱을 포함한 사이버 보안 위협에 대해 정기적으로 보인 인식 교육을 실시하면, 직원이나 조직 구성원이 의심스러운 메시지를 인지하고 신고할 수 있는 능력이 향상됩니다.
• 신고 체계 마련: 직원이나 이해관계자가 잠재적 스미싱 공격을 신고할 수 있는 명확한 경로를 마련합니다. 이를 통해 특정 스미싱 캠페인이 조직을 겨냥한 경우 신속히 경고를 발령할 수 있습니다.
• 모의 스미싱 테스트: 이메일 모의 피싱 훈련처럼, 가짜 스미싱 메시지를 발송해 수신자의 대응을 점검할 수 있습니다. 이를 통해 추가 교육이 필요한 부분을 파악할 수 있습니다.
• 정기적 업데이트: 모바일 운영체제와 보안 도구를 포함한 소프트웨어를 최신 상태로 유지하여 알려진 최신 위협에 대비합니다.

개인적 대응:

• 의심스러운 링크 클릭 금지: 예상치 못한 문자나 의심스러운 문자를 받았을 때, 링크를 클릭하거나 첨부파일을 다운로드하지 않아야 합니다.
• 개별 확인: 특정 기관이나 개인을 사칭한 문자라면, 문자에 적힌 연락처가 아니라 기존에 알고 있는 공식 연락처를 통해 직접 확인해야 합니다.
• 스마트폰 보안 기능 활용: 지문·얼굴 인식 같은 생체 인증이나 정기적 소프트웨어 업데이트 등 기본 보안 기능을 적극적으로 활용해 개인 데이터를 보호하세요.
• 최신 동향 파악: 스미싱 수법과 위협에 대한 최신 정보를 숙지하면 예방에 큰 도움이 됩니다. 인식 자체가 가장 중요한 1차 방어선이 될 수 있습니다.
• 개인정보 공유 금지: 본인이 직접 대화를 시작한 경우이자 상대방의 신원이 확실하지 않다면, 민감한 정보 또는 금융 관련 정보를 문자로 절대 공유하지 마세요.
• 공식 안내 여부 확인: 특히 은행이나 정부 기관은 문자로 개인정보를 요구하지 않습니다. 의심스러울 경우 반드시 해당 기관에 직접 전화를 걸어 확인하는 것이 안전합니다.

이러한 대응 방안들은 스미싱 공격의 피해 가능성을 크게 줄일 수 있지만, 어떤 대책도 완벽하지는 않습니다. 결국 가장 중요한 것은 지속적인 경계와 적당한 회의적 태도이며, 이것이 스미싱을 비롯한 다양한 사이버 범죄의 위협에 맞서는 핵심 방어 수단이 될 수 있습니다.

Proofpoint는 스미싱을 포함한 다양한 위협으로부터 사용자를 보호하기 위해 고급 보안 솔루션을 제공하는 선도적인 사이버 보안 기업입니다. Proofpoint는 다음과 같은 기능과 특징을 통해 이러한 범죄를 효과적으로 차단합니다.

이메일·소셜 미디어·모바일 전반에서의 보호

• 통합 보안: Proofpoint는 이메일뿐 아니라 소셜 미디어와 모바일 채널까지 아우르는 보안 솔루션을 제공합니다. 공격자는 어느 채널이든 악용할 수 있기 때문에, 통합된 보호 체계가 반드시 필요합니다.
• 표적 공격 방어(TAP): 표적 공격 방어는 여러 채널에서 발생하는 고도화된 위협을 탐지하고 분석하여 차단합니다. 이를 통해 Proofpoint는 문자 메시지 속 악성 링크나 직원 스마트폰에 설치된 위험한 앱도 식별하고 대응할 수 있습니다.
• 지능형 분석: Proofpoint 솔루션은 고급 위협 인텔리전스와 머신러닝을 활용해 정상적인 소통과 잠재적 위협을 구분합니다. 이는 새롭게 진화하는 스미싱 수법을 탐지하는 데 핵심적인 역할을 합니다.

모바일 위협 평가

• 위험 분석: Proofpoint의 모바일 위협 평가는 조직이 직면할 수 있는 잠재적 모바일 위협을 종합적으로 보여줍니다. 여기에는 스미싱 공격, 위험한 모바일 앱, 보안되지 않은 와이파이 연결 등이 포함됩니다. 이러한 위험을 식별함으로써 조직은 선제적 예방 조치를 통해 위험을 완화할 수 있습니다.
• 공격 경로에 대한 가시성: Proofpoint는 어떤 모바일 기기와 앱이 위험에 노출되어 있는지에 대한 통찰을 제공합니다. 이를 통해 조직은 스미싱이나 기타 모바일 위협에 악용될 수 있는 취약 지점을 효과적으로 보호할 수 있습니다.
• 위협 맥락 제공: Proofpoint는 단순히 위협을 표시하는 데 그치지 않고, 해당 위협의 성격, 잠재적 영향, 그리고 최적의 대응 방안을 구체적으로 제시합니다. 덕분에 조직은 위협에 대해 더 깊이 이해하고 효과적으로 대응할 수 있습니다.
• 맞춤형 권장 사항: 조직의 위협 환경을 분석한 뒤, Proofpoint는 각 조직의 고유한 위험과 과제에 맞춘 보안 강화 권고안을 제공합니다. 이러한 맞춤형 접근 방식을 통해 조직의 방어 체계가 실제 위험 수준과 정확히 일치하도록 보장할 수 있습니다.

Proofpoint는 스미싱 및 관련 위협에 대응하기 위해 다층적인 보안을 제공합니다. 고급 분석, 실시간 위협 인텔리전스, 다채널 통합 보안을 결합하여, 조직이 디지털 환경을 보다 안전하고 자신 있게 탐색할 수 있도록 보장합니다. 자세한 정보는 Proofpoint에 문의하시기 바랍니다.