세상 모든 보안 이야기

보안 백과사전

좌우로 움직여보세요

보안 위협

스미싱

포스팅 뷰387

스미싱의 정의

스미싱(SMishing)은 문자메시지(SMS)와 피싱(Phishing)의 합성어로 악성 모바일 앱 주소가 포함된 휴대폰 문자(SMS)를 대량으로 전송 후 이용자가 악성 앱을 설치하도록 유도하여 금융정보 등 사용자의 중요 정보를 하는 사기수법이다.


악성 행위자가 악성 앱 유포지를 해킹하여 악성 앱을 올려 놓고 그 링크를 사용자에게 보내서 사용자가 클릭할 때 악성 앱이 사용자 스마트폰에 설치되면, 원격 제어를 통해 사용자의 스마트폰을 통제하면서 협박과 회유를 통해 돈을 송금하도록 만드는 범죄다.

스미싱 예방 및 대응 가이드

한국인터넷진흥원, 「스미싱 예방 및 대응 가이드」, 2015.3.


문자나 메신저를 통해 부모에게 송금해 달라고 하거나 부모의 스마트폰에 (악성) 앱을 설치해 달라고 하기도 한다. 신분증, 계좌번호, 비밀번호를 요구하여 피해자 명의의 휴대폰을 개통하기도 한다. 피싱 피해자의 90% 이상이 50대 이상에서 발생한다. 고연령층 부모들이 상대적으로 IT 기기를 다루는 데 미숙하고 자녀의 말을 잘 들어주는 세태를 활용하는 것이다.


스미싱 피해 사례

메신저 피싱의 피해는 2018년 9,607건(216억 원), 2019년 8,306건(342억 원), 2020년 8,921건(373억원)으로 3년 간 총 피해는 약 27,000건, 약 931억 원이라고 한다. 2021년은 상반기에 약 11,000건 피해액 466억 원이 발생해 2020년의 규모를 넘어섰다.


스미싱 대응 방안

  • 자녀나 지인이 문자를 통해 송금을 요청하면 실제 통화해 보거나 메신저 등 다른 통신 수단으로 본인인지 확인해 본다. 메신저로 요청하면 문자나 전화로 확인해 본다.
  • 문자메시지와 메신저에 포함된 출처가 불분명한 링크는 클릭하지 말아야 한다. 이 링크에 악성코드가 연결되어 있어서 휴대전화에 악성코드가 설치되는 사고가 많다.
  • 구글과 애플 등이 제공하는 공식 앱스토어에서만 앱을 내려받아 설치한다. 누가 보내주는 앱을 절대 설치하지 말아야 한다.
  • (안드로이드) “출처를 알 수 없는 앱 설치” 설정을 차단한다. 이것만 잘 설정되어 있어도 공식 앱스토어 이외에서 내려받은 앱이 설치되지 않는다. 꼭 필요해서 이 설정을 해제하면 반드시 다시 설정해야 한다.
  • 금융기관, 수사기관, 정부기관에서 개인에게 전화해서 개인정보나 금융정보를 묻는 경우는 없다. 그런 전화는 무조건 사기라고 보면 된다.
  • 소액결제를 사용하지 않으면 아예 차단한다. 통신사 콜센터(114), 앱, 웹에서 쉽게 할 수 있다.