“OO銀行입니다. 顧客님의 名義가 盜用되었습니다. 保安을 위해 사이트에서 個人情報를 入力해 주세요” 最近 A氏는 자주 利用하는 銀行에서 名義가 盜用되었다는 문자메시지를 받고 깜짝 놀랐다. 該當 文字메시지에는 銀行 홈페이지 住所가 包含되어 스마트폰으로 바로 接續할 수 있도록 해 놓았다. 그런데 仔細히 보니 홈페이지 住所가 좀 달랐다. 알고 보니 銀行에서 온 文字메시지가 아닌, 피싱 文字메시지였다.
最近 스마트폰 피싱이 자주 發生하고 있다. 보이스피싱이 主를 이뤘던 旣存 피처폰 피싱과는 달리, 스마트폰 피싱은 文字메시지, 모바일 메신저, 애플리케이션(以下 앱) 等 多樣한 手段을 使用한다. 스마트폰의 脆弱點을 巧妙히 利用하는 데다가 그 類型이 아직 大衆들에게 많이 알려지지 않아 被害를 보기 쉽다.
문자메시지를 利用한 手法
銀行을 詐稱해 피싱 문자메시지를 보내고, 假짜 사이트로 誘引하는 境遇가 있다. 스마트폰에서는 링크된 인터넷 住所를 누르면 바로 사이트로 移動할 수 있다는 點을 노린 것이다. 얼핏 보면 眞짜 住所로 錯覺할 程度로 비슷하기 때문에 제대로 確認하지 않았다가 狼狽를 보는 사람들이 많다.
이 假짜 사이트의 겉모습은 主要 銀行 홈페이지와 똑같다. 平素처럼 住民登錄番號, 計座番號 等을 入力하게 되면 고스란히 犯人에게 個人情報를 넘기는 꼴이 된다. 이들은 이렇게 얻은 個人情報로 公認認證書를 再發給 받고, 計座에서 돈을 引出한다. 文字메시지 發信處를 實際 銀行 連絡處로 바꿔놓는 等 巧妙한 手法을 쓰기 때문에 속기 쉽다.
모바일 메신저를 利用한 手法
‘카카오톡’, ‘마이피플’ 等 모바일 메신저를 利用한 詐欺 事件도 많다. 旣存 PC 인스턴트 메신저 피싱에서 橫行했던 手法이 모바일 메신저로 擴散된 것. 누군가 모바일 메신저로 말을 걸어 돈을 빌려달라고 한다면 피싱日 可能性이 크다. 犯人들은 모바일 메신저에서 이름과 寫眞을 設定하고 知人을 詐稱한 뒤, 돈을 빌려달라고 要求한다. 모바일 메신저에서 이름과 寫眞은 얼마든지 바꿀 수 있고, 相對方 電話番號만 登錄하면 對話가 可能하다는 點을 惡用한 것이다.
特히 모바일과 PC에서 동기화되는 메신저에서 被害 事例가 많다. PC와 스마트폰에서 同時에 接續할 때, 多重 接續에 對한 案內 알람 機能이 없는 메신저도 있기 때문이다. ‘PC 버전 接續 時 모바일 버전에서 알림 받지 않기’ 機能을 使用할 境遇, 犯人이 PC에서 메시지를 보내도 當事者는 이를 알지 못할 수 있다.
앱을 詐稱하는 手法
스마트폰 惡性 앱을 配布해서 해킹을 하는 境遇도 있다. 惡性 앱을 大衆交通 情報 또는 有名 온라인 게임의 보너스 앱인 것처럼 속여, 내려 받기를 誘導한다. 이런 惡性 앱은 犯人이 미리 登錄해둔 番號로 文字메시지를 週期的으로 보낸다. 스마트폰 利用者는 自身도 모르는 사이에 決濟 代金을 支拂하게 되거나 個人情報를 빼앗긴다.
지난 5日에는 카카오톡의 無料 音聲通話(m-VoIP) 서비스인 ‘보이스톡’을 詐稱한 詐欺 앱이 登場하기도 했다. 보이스톡은 旣存 카카오톡 內에서 使用할 수 있는 서비스로, 別途의 앱은 아니다. 하지만 구글의 오픈마켓에 ‘카카오톡 平生 無料通話 보이스톡’이라는 正體不明의 앱이 登場했는데, 이 앱은 보이스톡 平生 使用을 名目으로 9,800원을 먼저 決濟하도록 한다. 하지만 決濟한 後에도 無料 音聲通話 서비스는 使用할 수 없다. 現在 이 앱은 削除되었지만, 이와 類似한 種類의 다른 앱이 또 다시 登錄될 수 있는 만큼 使用者들의 注意가 必要하다.
紛失 스마트폰을 利用하는 手法
紛失된 스마트폰을 惡用하는 境遇도 있다. 스마트폰에 貯藏된 連絡處를 보고 家族, 知人들에게 送金을 要求하는 것은 勿論, 스마트폰 內에 있는 個人情報를 組合하기도 한다. 特히 스마트폰에 重要한 情報를 貯藏한 사람들에게 危險하다.
被害를 豫防하려면?
먼저 發信者의 身元을 明確히 確認해야 한다. 피싱 犯人이 가장 많이 使用하는 手法은 各種 機關을 詐稱하는 것이다. 하지만 公共機關을 비롯해 金融機關, 通信會社 等 國內 어떠한 機關도 電話나 文字를 통해 먼저 個人情報를 要求하지 않는다. 따라서 이런 連絡은 100% 피싱日 可能性이 높다. 또 모바일 메신저 對話 中 돈이나 計座를 言及하는 이야기가 나온다면 반드시 電話를 통해 相對方을 確認해야 한다. 主催가 不分明한 이벤트나 行事에는 應募하지 않아야 하며, 스마트폰 앱을 내려 받을 때는 開發者 情報와 利用者들의 後記를 보고 믿을 만한 앱인지 確認해야 한다.
다음으로 스마트폰 保安 管理에 注意를 기울여야 한다. 스마트폰도 PC처럼 保安 管理를 해야 한다. 特히 안드로이드 OS는 保安에 脆弱하기 때문에, 週期的으로 백신을 업데이트하는 것이 좋다. 스마트폰에는 잠금 祕密番號를 設定하고, 重要한 情報는 스마트폰에 貯藏하지 않도록 한다.
萬一 피싱에 속아 送金했을 境遇 바로 該當 銀行을 찾아가야 한다. 計座 支給停止 申請을 통해 犯人이 돈을 引出하지 못하도록 해야 하기 때문이다. 또한 ‘個人情報 露出子 事故 豫防 시스템’에 登錄을 要請해서, 流出
된 個人情報가 新規 預金計座 開設, 貸出 申請, 信用카드 發給 等에 惡用되지 않도록 해야 한다. 이렇게 하면 모든 金融會社가 徹底한 本人 確認을 要求하게 되어 追加的인 被害를 줄일 수 있다.
글 / IT東亞 안수영(syahn@itdonga.com)
※ 포털 內 配布되는 記事는 寫眞과 記事 內容이 맞지 않을 수 있으며,
