1. 개요
문자결제사기(文字決濟詐欺) 또는 스미싱(Smishing)[1]은 문자메시지 서비스를 이용해 특정한 행동을 유도하는 방법으로 자행되는 전기통신금융사기의 한 유형이다. 오늘날에는 카카오톡 등 모바일 메신저를 이용해 연락처를 획득, 대화로 접근하며 지인을 사칭하는 방식의 메신저 피싱과 함께 이루어지는 경우도 많다.2. 유형
스미싱의 가장 고전적인 방식은 지인이나 공공기관을 사칭하여 문자를 보내거나, 돌잔치나 청첩장 등의 앱으로 위장하여 인터넷을 통해 직접 악성코드를 설치하도록 유도하는 것이다. 악성코드가 포함된 가짜 앱이 설치되면 사용자의 휴대폰은 말 그대로 바이러스에 감염된 좀비폰이 되어, 본인도 모르는 사이 전화번호부에 있는 다른 사람에게 스미싱 문자를 발송한다. 이러한 유형의 스미싱은 아는 사람의 번호를 사칭해서 접근하기 때문에 사기에 휘말리기 쉽다.스마트폰이 보급된 뒤에는 안드로이드 기반 스마트폰에 악성앱을 깔게 한뒤 소액결제 인증번호를 빼돌리는 수법이 다수 보고되었다. 아이폰의 경우 보안의 문제로 안드로이드보다 펌웨어에 접근하기 어렵기 때문에 시스템 수정이 자유로은 안드로이드 운영체제의 피해 사례가 훨씬 많다. 이는 한국뿐만 아니라 전세계적으로 이슈가 되고 있는 문제지만, 유독 안드로이드 사용률이 높은 한국에서 피해 사례가 더 속출하고 있다.
보다 해킹이 까다로운 iOS에서는 피싱 사이트를 통한 간접적인 접근 방법이 유행하여, Apple ID와 암호를 입력하도록 하는 방식으로 탈취한 계정 정보를 이용, Apple에 등록된 결제 정보를 통해 모바일 게임류의 사이버 머니를 구매한 뒤 현금화하는 방식의 사기가 존재했다. Apple 측에서 이를 막기 위해 아예 이중 인증을 기본값으로 넣어 버렸다. 이런 사이트에 아무 아이디/비밀번호나 넣고 들어가보면 카드번호 등 결제에 필요한 정보까지도 요구하는 모습을 보인다. 또한 이런 피싱 사이트로 유도하는 이메일은 아프리카 등 뜬금없는 장소에서 로그인이 시도되었다는 내용이다보니 비밀번호가 노출되었다고 속을만 해 보이는 내용.
이 밖에 카카오톡 등의 앱 개발자를 사칭하여 앱 업데이트라며 거짓 문자를 보낸 뒤 링크를 클릭하면 악성코드가 심어져 소액결제가 되는 일이 있다. 실제로 앱을 업데이트해야 한다면 대부분 업데이트 알림이 뜨기 때문에[2] 앱 개발자는 굳이 문자 메시지로 업데이트를 고지해야 할 이유가 없다. 따라서 앱 업데이트 문자가 날아왔다면 스미싱으로 의심해봐야 한다.
그 외에도 몇 가지 스미싱 유형이 있다. 예를 들어 l(L 소문자) → I(i 대문자), 아라비아 숫자 1이나[3] m → rn 또는 w → vv[4]로 잘못 보이는 것을 악용하여 가짜 URL을 전송한다.
- 휴대전화 과다청구 요금 미환급액 조회바랍니다. https://narnu.wiki/w/어쩌구저쩌구
- 아이핀 재발급 확인바랍니다. https://narnu.wiki/w/어쩌구저쩌구
- 데이터사용 초과 요금 청구서 https://narnu.wiki/w/어쩌구저쩌구
- 소액결제 명세서 https://narnu.wiki/w/어쩌구저쩌구
- 스마트폰 OS 업그레이드 https://narnu.wiki/w/어쩌구저쩌구
- 개인정보 유출 방지 앱 설치 안내 https://narnu.wiki/w/어쩌구저쩌구
- 이벤트 당첨 https://narnu.wiki/w/어쩌구저쩌구
- 택배 배송 불가 https://narnu.wiki/w/어쩌구저쩌구[5]
- 장성택 처형 동영상 https://narnu.wiki/w/어쩌구저쩌구
- 연아야 고마워 https://narnu.wiki/w/어쩌구저쩌구
- 세월호 침몰 사고 구조 현황[6] https://narnu.wiki/w/어쩌구저쩌구
- 민방위 훈련 스미싱 https://narnu.wiki/w/어쩌구저쩌구
- 긴급재난지원금 스미싱 https://narnu.wiki/w/어쩌구저쩌구
-
[도로교통법 12조 8항에 의거][7] 교통법규위반 확인 https://narnu.wiki/w/어쩌구저쩌구 - 절대로 누르지 말자. 부연설명 없이 URL만 나온다. 자신의 휴대번호를 저장한 사람들에게서 나오기 때문에 서로 저장되었으면 당하기 쉽다. '지인이 보낸 것이니 괜찮겠지.' 하고 무심코 열어봤다가는 악성코드 감염은 물론이고 저 URL이 똑같이 전화번호부에 저장되어 있는 사람들에게 문자로 다시 전송되어 퍼져 나가 2차 피해를 일으킨다.
위의 사례들은 대표적인 몇 가지 사례들일 뿐이다. 이런 문자들에 있는 URL은 문자사기일 가능성이 높다. 즉, 위의 문자들에 있는 http://narnu.wiki/w/어쩌구저쩌구 ←이걸 클릭하면 악성코드에 걸린다는 것. 또한, 불분명한 발신자의 문자에 담긴 URL 역시 문자사기일 가능성이 높다.
2.1. 메신저 피싱
메신저 피싱은 보이스피싱과 유사한 방법으로 대상에게 접근, 대화를 통해 정보를 탈취하거나 송금을 유도하는 문자결제사기의 한 유형이다. 문서 참조.
3. 예방과 대처
이것을 막기 위해서는 폰의 환경설정으로 들어가서 보안 항목에 있는 "알 수 없는 출처"에 체크된 옵션을 해제하면 된다. 이 방법을 사용하면 구글 플레이 스토어를 통해서만 앱 설치가 되기 때문에 위의 링크를 눌러도 앱 설치가 되지 않는다. 단, 이 방법을 사용하면 일부 서드파티 앱스토어는 쓸 수 없고, 웹을 통한 apk 파일 설치도 안 된다. 게다가 구글 플레이에 있는 앱들이라고 100% 안전한 것도 아니다.[8] 즉, 안드로이드의 장점으로 여겨졌던 부분을 죄다 포기해야만 안전해질 수 있다. 다른 방법으로는 구글 플레이에서 스미싱 차단용 앱, 백신 등을 설치하는 것이다.만약에 실수로 설치했다면 앱 관리를 둘러보자. 분명 원래 깔려있던 앱을 사칭하는 앱이 깔려 있을 것이다. 예를 들면 Chrome 이라던지. 참고로 원래 설치된 앱이랑 새로 설치된 악성 앱을 구분하는 방법은 들어갔을 때 '사용 중지' 가 뜨면 기본앱, '삭제' 가 뜨면 사칭앱이니 제거하자. 제거가 안된다면 기기 관리자가 활성화 되어있을 확률이 높으니 해제하고 다시 삭제하면 해결된다. 만약 기기 관리자 해제가 불가능할 경우 전원 끄기를 길게 눌러 안전모드로 부팅하면 해제할 수 있다. 복잡하면 그냥 백신을 돌리는것도 좋다. 물론 이때도 기기관리자를 수동으로 풀어줘야 하는 경우가 있긴 하다.
[1]
어휘 '스미싱'은
문자메시지(SMS)와
피싱의 합성어로,
국립국어원은 스미싱을 '문자결제사기'로 순화한 바 있다.
[2]
다만 apk 파일을 따로 받아서 설치한 경우라면 뜨지 않는다.
[3]
과거
한겨레에서
1Q84를 '
IQ84'로 소개함으로써 망신을 산 적이 있다.
[4]
실제로,
w를
u('유') 2개로
파자했다고 보는
영어와 달리
프랑스어 등
로망스어군에서는
v(프랑스어 기준 '베') 2개로 파자했다고 본다. 따라서 전자는 '더블유'이고, 후자는 '두블르베'가 되는 것이다.
[5]
주로 CJ대한통운이 표적으로 나온다. 마침 택배를 기다리는 상황이라면 혹 하기 쉽다. CJ대'환'통운 이라고 오기도 한다.
[6]
사회적인 이슈에 거론되었던 인물에 대한 동영상이 유출되었다는 형식이다.
[7]
도로교통법 12조는 '어린이 보호구역의 지정 및 관리'에 대한 조항이라 완전 엉뚱한 맥락은 아닌데, 정작 8항은 없고 5항까지만 있으며, 차량 운전자의 주의의무등이 아닌 행정처분의 근거규정이다.
[8]
심사를 하고 등록해 주는
앱 스토어와 다르게 구글은 자유롭게 앱을 올릴 수 있기 때문이다. 그러나
안드로이드 10 출시 즈음부터 심사가 까다로워졌다.