스미싱에 관해 알아봅시다

스미싱(smishing) 사기는 ‘SMS’와 ‘피싱‘의 합성어로, 문자 메시지 기술(SMS)을 이용해 사용자의 돈, 신원 또는 데이터를 노리는 사기 수법입니다. 피싱과 마찬가지로 사이버 범죄자가 보낸 가짜 문자 메시지로, 사용자를 속여 데이터나 돈을 넘겨주도록 유도합니다. 쉽게 말해, 스미싱은 소셜 엔지니어링 공격의 일환으로 사람들을 속여 멀웨어(malware)를 다운로드하거나 민감한 정보를 공유하거나 사이버 범죄자에게 돈을 송금하도록 유도하는 사이버보안 분야의 범죄 수법입니다.

스미싱과 피싱의 차이는 무엇인가요?

커뮤니케이션 방법에 차이가 있습니다. 스미싱 공격은 문자 메시지(SMS)를 주요 통신 수단으로 사용하는 반면, 피싱 공격은 일반적으로 이메일을 통해 이루어집니다. 또한 대상 디바이스에도 차이가 있는데요, 스미싱 공격은 모바일 디바이스를 대상으로 하는 반면, 피싱 공격은 일반적으로 컴퓨터 또는 이메일에 액세스할 수 있는 모든 디바이스를 대상으로 합니다.

• 택배 기사를 사칭하여 우편물 배달을 빌미로 링크 클릭을 요청하는 메시지
• 정부나 기타 공식 기관을 사칭하여 개인 데이터를 요청하는 메시지
• 신용카드 정보 또는 로그인 정보를 보내라는 은행의 메시지
• 무언가를 다운로드하기 위해 신용카드 정보를 입력해야 하는 링크가 포함된 메시지
• 지인이 곤경에 처해 있다며 송금을 요청하는 메시지
• 당첨금 수령을 위해 정보를 보내달라고 요청하는 가짜 복권 당첨 메시지
• 특정 서비스 사용을 중지하려면 링크를 누르거나 데이터를 입력하거나 돈을 지불해야 한다는 내용의 구독 취소 메시지
• 합법적인 번호 또는 친구의 번호로 발송된 이상한 가짜 메시지. (친구의 장치가 멀웨어에 감염된 경우 해커의 조종에 의해 이런 메시지를 보낼 수 있습니다.)

위는 몇 가지 예에 불과합니다. 피싱 이메일과 마찬가지로 해커는 스미싱 문자에 다양한 시나리오를 사용할 수 있습니다. 대부분의 경우 로그인하거나 개인 정보를 입력하는 등의 행동을 급하게 취하기를 요청합니다. 또한 가짜 담당자와 통화할 수 있는 가짜 번호를 제공할 수도 있습니다. 최근에는 멀웨어 다운로드를 유도하기 위해 링크를 클릭하게 하는 유형의 스미싱 문자도 많습니다. 하지만 걱정 마세요. 스미싱 사기를 식별하고 방지할 수 있는 방법이 있습니다.

전화 목소리를 통해 접근하는 보이스피싱과는 달리 스미싱은 문자로만 진행되는 사기 수법이기 때문에 무엇보다도 문자 메시지의 내용을 잘 읽어보는 것이 필요합니다. 다음은 주의해야 할 몇 가지 위험 신호입니다:

• 

  다급한 내용 – 스미싱 메시지는 사용자에게 신속하게 행동하도록 유도합니다. 사용자가 메시지의 진위 여부를 의심하거나 생각할 시간을 갖기 전에 조치를 취하기를 원합니다.
• 

  민감한 정보 요구 – 대부분의 합법적인 회사는 메시지에서 비밀번호나 신용카드 정보를 절대 요구하지 않는다는 점을 명확히 하기 위해 노력합니다. 하지만 해커는 개인 정보나 신용카드 정보를 입력하거나 송금 또는 계정 로그인을 위해 허위 링크를 보낼 수 있습니다.
• 

  차단되었거나 알 수 없거나 잘못된 발신자 번호 – 위험 신호입니다. 메시지 발신자가 보이지 않는다면 스미싱 공격 시도일 가능성이 높습니다. 예상치 못한 지역 번호나 외국에서 걸려온 전화는 주의하세요. 낯선 번호에서 보내는 문자는 각별히 주의하세요.
• 

  링크를 포함한 문자 – 메시지에는 이상한 링크나 단축 링크가 포함되어 있다면 일단 의심해보아야 합니다.
• 

  문법 오류나 어색한 이미지 – 기업이나 공기관에서 보내는 공지 문자와 다르게 허술한 점이 있다면 꼭 의심해보세요.
• 

  믿기 힘들만큼 좋은 제안 – 이게 꿈이냐 생시냐! 라는 생각이 들 정도로 너무 좋은 제안이라면 사실이 아닐 가능성이 높습니다.

무엇보다 좋은 것은 피해를 입기 전에 미리 선제적 조치를 취하는 것이겠지요? 다음은 스미싱의 위협으로부터 자신을 보호하는 몇 가지 방법입니다:

• 

  추가 메시지를 방지하기 위해 답장을 요청하더라도 메시지에 답장하지 마세요. 답장을 보내면 사기꾼에게 사용 중인 전화번호를 알려주게 되므로 후속 연락을 받게될 가능성이 높습니다.
• 

  공식 기관이나 은행은 일반적으로 절대 이러한 방식으로 개인 정보나 돈을 요구하지 않는다는 점을 명심하세요.
• 

  의심스러운 경우, 연락을 요청하는 기관, 사람 또는 회사의 합법적인 번호로 전화하여 그들이 실제로 메시지를 보냈는지 여부를 문의해야 합니다. 또는 해당 웹사이트나 소셜 미디어 페이지로 이동할 수도 있습니다.
• 

  무슨 일이 있어도 링크를 클릭하거나 돈을 이체하거나 개인 정보를 입력하지 마세요. 특히 문자 메시지에 포함된 링크나 QR코드를 통해 앱을 다운로드하지 마세요.
• 

  NordVPN의 바이러스 및 위협 방지 기능을 사용해 보세요. 이 기능은 사이버 위협이 기기에 실제 손상을 입히기 전에 무력화합니다. VPN 자체도 온라인 트래픽을 암호화하여 보안에 도움이 되지만 안티 멀웨어 기능이 추가되어 있는 경우 더욱 확실한 사이버보안을 누릴 수 있습니다. NordVPN은 다운로드 중 멀웨어가 포함된 파일을 식별하고, 악성 웹사이트에 접속하는 것을 차단하며, 웹 트래커와 방해가 되는 광고를 즉시 차단합니다. 또한 한국에 서버를 보유하고 있는 한국 VPN이며, 크롬 VPN 등 편리한 브라우저 확장 프로그램을 제공합니다.

사이버 범죄 수사 기관에 스미싱 사기를 신고할 수 있습니다. 관할 경찰서에 찾아가거나 우편으로 신고하는 방법도 있지만, 사이버범죄 신고 시스템을 이용하면 신속하게 조치를 취할 수 있습니다. 문자 메시지 안의 링크는 클릭하지 말되 메시지를 삭제하지 말고 증거를 위해 스크린샷을 찍어두는 것이 좋습니다.