스미싱 공격이란 무엇이며 어떻게 예방할 수 있나요?

스미싱 공격은 악성 문자 메시지를 활용하여 개인과 기업의 금전적 손실 및 데이터 유출을 야기합니다.

사이버 범죄자들은 사용자들이 문자 메시지를 쉽게 신뢰하는 경향을 악용합니다. 공포심이나 흥분감을 유발하여 메시지를 조작하고, 사용자가 인지하기도 전에 순식간에 데이터를 손상시킵니다.

상상해 보세요. 문자를 확인하던 중 갑자기 경품에 당첨되었다는 메시지를 받게 됩니다. 사실이라고 하기에는 너무 좋지만, 이상하게도 매우 설득력 있게 느껴집니다.

제공된 링크를 클릭하고 싶은 유혹이 들 것입니다. 하지만 링크를 클릭하는 순간, 무해해 보이는 문자 메시지로 인해 은행 계좌가 텅 비거나 개인 정보가 도용되었다는 충격적인 사실을 발견하게 될 것입니다.

스미싱 공격의 세계에 오신 것을 환영합니다. 이는 점점 더 증가하는 위협이며, 가장 능숙한 사용자조차 방심하게 만듭니다.

실제로 2021년 상반기에만 스미싱 공격이 전 세계적으로 700%나 급증했습니다.

따라서 이러한 조작적인 전술에 맞서 스스로를 보호해야 할 필요성이 그 어느 때보다 시급해졌습니다.

본 글에서는 스미싱 공격이 무엇인지, 그 유형에는 어떤 것이 있는지, 그리고 스미싱 공격으로부터 자신을 보호할 수 있는 방법에 대해 자세히 알아보겠습니다.

시작해 볼까요!

스미싱이란 무엇일까요?

스미싱(Smishing)은 "SMS 피싱(SMS phishing)"의 줄임말로, 겉으로는 합법적인 것처럼 보이지만 실제로는 사용자의 신뢰, 공포심, 흥분 등을 악용하여 은행 계좌를 노리는 사이버 위협입니다.

이러한 문자 메시지는 사용자들이 악성 링크를 클릭하거나 개인 정보를 공유하도록 유도합니다.

스미싱 공격의 목적은 사기 행위를 위해 개인 정보, 돈, 심지어 신분까지 훔치는 것입니다.

이러한 사이버 공격에서 피해자는 경품에 당첨되었다거나 계정 정보를 긴급하게 업데이트해야 한다는 내용의 문자를 받습니다. 문자 메시지에는 악성 링크가 포함되어 있을 수 있으며, 경품을 수령하거나 계정을 변경하기 위해서는 해당 링크를 클릭해야 한다는 메시지가 표시됩니다.

즉, 스미싱은 사이버 범죄자들이 사람들을 속이고 공격을 감행하기 위해 사용하는 교활한 방법입니다.

Statista의 보고서에 따르면 2021년과 2022년에는 전 세계적으로 조직의 76%가 스미싱 공격을 경험했습니다. 이러한 사실은 이 위협이 얼마나 만연한지를 보여줍니다.

안전을 유지하는 첫걸음은 경계심을 갖는 것입니다. 메시지가 진실인지 확실하지 않다면 링크를 클릭하거나 개인 정보를 제공하지 마십시오. 메시지를 보낸 사람을 확인하고, 오류나 이상한 요청이 있는지 확인해야 합니다. 은행과 같은 합법적인 회사는 문자 메시지로 비밀번호나 민감한 정보를 요구하지 않는다는 점을 기억하십시오.

모바일 사용 증가와 스미싱, 우려할 만한가요?

모바일 기기가 우리 삶의 필수적인 부분이 되면서 스미싱 공격의 가능성은 더욱 높아지고 있습니다. 이는 개인과 기업 모두에게 심각한 문제입니다.

모바일 사용량이 증가함에 따라 사이버 범죄자들은 정보와 돈을 악용할 수 있는 새로운 기회를 포착했습니다. 2021년에는 미국 내 전화번호로만 약 878억 건의 원치 않는 스팸 문자가 전송되었습니다. 이로 인해 사람들은 총 100억 달러 이상의 금전적 손실을 입었습니다.

오늘날 휴대폰은 은행 업무와 소셜 미디어 활동 등 다양한 업무에 필수적인 도구가 되었습니다. 하지만 이러한 지속적인 의존은 사용자들을 사이버 범죄자들이 사용하는 조작적인 전략에 노출시키기도 합니다. 이러한 공격자들은 사용자들이 별생각 없이 충동적으로 행동하도록 유도하는 설득력 있는 메시지를 보냅니다.

스미싱으로 인한 결과는 은행 계좌 유출, 데이터 및 개인 정보 도용과 같은 충격적인 결과를 초래할 수 있습니다. 그렇기 때문에 스미싱은 단순한 성가심이 아닌, 금융 보안과 개인 정보 보호에 심각한 위협이 된다는 사실을 인지하는 것이 매우 중요합니다.

휴대폰이 우리 삶과 업무 모두에 필수적인 도구이므로 휴대폰 사용을 멈출 수 없다는 것은 이해할 수 있습니다. 하지만 지속적으로 정보를 얻고 주의를 기울일 수 있습니다. 위험을 이해하고 경계심을 유지함으로써 스미싱 공격의 기만적인 손아귀로부터 자신을 보호할 수 있습니다.

스미싱 공격 유형

다양한 유형의 스미싱 공격에 대해 알아두면 이러한 악의적인 전술의 희생양이 되는 것을 인식하고 예방할 수 있게 됩니다.

이제 스미싱 공격의 종류를 살펴봅시다.

피싱 스미싱

이러한 전통적인 형태의 스미싱은 악성 링크를 통해 가짜 웹사이트로 연결을 유도합니다. 이러한 사이트는 실제 은행 사이트와 같은 합법적인 사이트와 유사하게 보입니다. 여기에는 공격자가 사용자의 정보를 캡처하여 공격에 사용하는 중요한 세부 정보를 입력하도록 유도합니다.

비싱 스미싱

이는 보다 개인화된 접근 방식입니다. 사기꾼은 문자 메시지와 함께 음성 통화를 사용합니다. 이들은 음성 메일을 남기거나, 계정이 손상되었다거나 사기 행위가 발생했다는 내용의 SMS를 보내 전화하거나 링크를 클릭하도록 요청할 수 있습니다. 이렇게 하면 사용자의 개인 정보를 얻어낼 수 있습니다.

경품 스미싱

뜻밖의 행운은 누구에게나 흥분을 불러일으킵니다. 사이버 범죄자들은 경품 당첨을 축하한다는 메시지를 보내 이러한 심리를 악용합니다. 하지만 실제로는 그러한 콘테스트에 참여한 적이 없을 것입니다.

이러한 유형의 스미싱 공격에서 공격자들은 경품을 받기 위해 사용자의 개인 정보나 '소액의 수수료'를 요구합니다. 그런 다음, 돈과 데이터를 가지고 잠적하기 때문에 다시는 찾을 수 없게 됩니다.

금융 스미싱

이러한 메시지는 합법적인 금융 기관을 사칭하여 계정에서 의심스러운 활동이 감지되었으므로 즉시 조치를 취해야 한다고 주장합니다. 이러한 메시지에 불안감을 느껴 제공된 링크를 클릭하면 자신도 모르게 계정 접근 권한을 제공하게 될 수 있습니다.

긴급 조치 스미싱

긴박감을 조성하는 이러한 메시지는 즉각적인 조치가 필요한 긴급한 상황을 경고합니다. 계정 업데이트, 구매 확인, 거래 확인 등 이러한 메시지는 사용자가 생각할 겨를도 없이 신속하게 행동하도록 유도하는 것을 목표로 합니다.

앱 스미싱

공격자들은 인기 있는 앱 스토어에서 보낸 것처럼 위장한 문자를 보내 업데이트나 새로운 앱을 다운로드하도록 유도할 수 있습니다. 그러나 링크는 가짜 사이트로 연결되어 장치에 악성 코드를 다운로드하게 합니다.

우정 스미싱

이러한 기만적인 수법에는 친구나 가족으로 가장한 사이버 범죄자들이 관여합니다. 이들은 신뢰를 악용하여 재정적 도움이나 민감한 정보를 요청할 수 있습니다.

여행 스미싱

사기꾼들은 여행에 대한 관심을 이용하여 여행 상품이나 예약 확인 메시지를 보내 사용자를 속이려 합니다. 링크를 클릭하면 데이터 도난이나 악성 코드 설치로 이어질 수 있습니다.

자선 스미싱

사이버 범죄자들은 재난이나 도움이 필요한 상황에서 가짜 자선 단체로부터 메시지를 보내 사용자들의 선의를 악용합니다. 이들은 기부를 요청하지만, 그 돈은 도움이 필요한 사람들에게 전달되지 않습니다.

보안 경고 스미싱

이러한 메시지는 사용자의 계정이 손상되었다는 보안 침해에 대한 우려를 이용합니다. 메시지는 즉각적인 조치를 취하거나 OTP와 같은 민감한 정보를 공격자와 공유할 것을 요구합니다. 이렇게 하면 공격자들은 은행 계좌를 비우거나 무단 접근 권한을 얻어 공격을 수행할 수 있습니다.

스미싱 공격의 실제 사례와 그 결과

이제 이러한 공격과 그로 인한 끔찍한 결과에 대한 실제 사례를 살펴보겠습니다.

#1. "은행 계좌 손상"

은행으로 위장한 번호로부터 계좌의 승인되지 않은 활동에 대한 알림 문자 메시지를 받았다고 상상해 보십시오. 메시지는 긴급히 링크를 클릭하여 세부 정보를 확인하라고 요청합니다.

의심하지 않은 피해자가 링크를 클릭하고 개인 정보를 입력하면 공격자는 은행 계좌에 접근할 수 있게 됩니다. 그 결과, 은행 계좌는 텅 비고 심각한 금전적 피해가 발생합니다.

사례: 디킨 대학교 스미싱 공격은 호주 디킨 대학교에서 발생한 스미싱 사건으로, 약 47,000명의 재학생 및 졸업생의 개인 정보가 유출되었습니다. 교직원 한 명의 자격 증명이 손상되어 승인되지 않은 개인들이 대학에서 학생들과 소통하는 데 사용되는 대량 SMS 메시징 서비스에 접근할 수 있게 된 것이 원인이었습니다.

#2. "무료 기프트 카드" 사기

피해자는 경품권이나 상품을 받았다는 메시지를 받습니다. 상품이나 상품권을 받기 위해 개인 정보를 제공하거나 소액의 배송비를 지불해야 한다는 내용입니다. 수신자가 정보를 제공하거나 요금을 지불하면 공격자는 잠적하고, 피해자는 사기를 당하고 개인 정보를 잃게 됩니다.

사례: 정부 기관을 사칭하는 기프트 카드 사기는 실제 사례입니다. 사회 보장국과 같은 정부 기관 소속이라고 주장하는 사기꾼들로부터 전화를 받았습니다.

미국 연방거래위원회(FTC)에 따르면 이러한 사기는 2021년에 크게 증가했으며, 약 40,000명의 소비자가 해당 연도 첫 9개월 동안 1억 4,800만 달러의 손실을 입었습니다. 2018년에는 이러한 사기로 인해 손실된 금액이 평균 700달러였지만, 2021년에는 1,000달러로 증가했습니다. 특히 50세 이상의 고령자들이 이러한 사기에 더 취약한 것으로 나타났습니다.

#3. "가짜 앱 업데이트" 수법

인기 앱을 즉시 업데이트하라는 문자 메시지를 받을 수도 있습니다. 이러한 일이 발생하면 주의해야 합니다.

메시지에 포함된 링크는 악성 코드로 감염된 가짜 앱으로 연결됩니다. 이 악성 앱을 설치하면 은행 정보를 포함한 개인 정보가 도난당할 수 있으며, 해커가 장치를 제어할 수 있게 됩니다. 그 결과, 장치가 손상되고 데이터가 유출될 수 있습니다.

사례: ZDNet의 보고서에 따르면 안드로이드 트로이 목마 악성 코드 공격은 시스템 업데이트로 위장한 채 발견되었습니다. 사용자는 시스템을 업데이트하라는 메시지를 받았습니다. 하지만 이 "업데이트"를 다운로드하고 설치하면 원격 액세스 트로이 목마로 작동하여 공격자가 피해자의 장치를 완벽하게 제어할 수 있게 됩니다.

이를 통해 메시지, 사진, GPS 데이터까지 포함한 광범위한 데이터를 캡처할 수 있었으며, 전화 통화도 녹음할 수 있는 등 가장 침입적인 안드로이드 악성 코드 변종 중 하나였습니다.

#4. "IRS" 위협

사람들은 국세청(IRS)으로부터 체납 세금을 즉시 납부하라고 주장하거나 법적 처벌을 경고하는 문자를 받았습니다. 두려움에 떨어진 피해자들은 금융 정보를 공유하거나 요구된 금액을 지불하는 방식으로 대응했습니다. 그 결과는 금전적 손실과 개인 정보 노출입니다.

사례: 2022년 9월 국세청(IRS)은 급증하는 IRS 문자 사기에 대해 경고했습니다. 가짜 코로나19 구제, 세금 환급, IRS 온라인 계정 설정 지원 등을 주장하는 사기성 문자 메시지로 피해자를 유인하는 경우가 많습니다.

대표적인 사례 중 하나는 세금을 체납했다는 메시지를 받은 납세자가 제공된 링크를 클릭하여 세금을 정산해야 했던 경우입니다. 링크를 클릭하면 개인 정보 및 은행 정보를 수집하려는 피싱 사이트로 연결되었습니다.

#5. "여행 확인서" 사기

피해자들은 자신이 예약하지 않은 여행에 대한 여행 확인서라고 주장하는 문자를 받았습니다. 호기심에 이끌린 피해자들은 예약을 취소하려고 링크를 클릭했고, 자신도 모르게 장치에 악성 코드를 다운로드하게 되었습니다.

이 악성 코드는 개인 정보, 로그인 자격 증명을 훔치고 키 입력까지 기록할 수 있습니다. 그 결과, 개인 정보 유출 및 잠재적인 금전적 손실이 발생했습니다.

사례: 영국 켄트 거주자인 Mevonnie Ferguson은 실제 항공권 예약 사기의 피해자로 알려져 있습니다. 그녀는 Infinity Global Travel이라는 여행사를 사칭한 사기꾼에게 속았습니다. 사기꾼은 런던에서 자메이카 킹스턴까지 가는 실제 영국항공 항공권처럼 보이는 티켓을 판매했습니다.

그녀는 예약 번호를 사용하여 영국항공 웹사이트에서 예약 내용을 확인했고, 예약이 유효한 것으로 나타났습니다. 하지만 구매 후 약 2주 후, 출발 불과 며칠 전에 영국항공 웹사이트에서 예약이 사라졌습니다. 항공사에 문의해 보니 그녀의 이름으로 예약된 항공편이 없다는 사실을 알게 되었습니다. 사기꾼은 '확정된' 예약과 '발권된' 예약의 차이를 이용하여 실제로는 임시 보류일 뿐인 예약을 유효한 것처럼 보이게 만들었습니다.

#6. '로맨스 사기'

출처: Crystal Blockchain

사이버 범죄자들은 문자 메시지를 통해 마치 로맨틱한 관계에 관심이 있는 것처럼 가장하고 피해자와 친밀한 관계를 형성하는 경우가 있습니다. 신뢰를 쌓은 후에는 피해자를 조종하여 개인 정보 및 금융 정보를 공유하도록 유도합니다. 이는 상심, 배신, 재정적 파탄으로 이어질 수 있습니다.

사례: 한 사이버 범죄자가 미국 사이버 사령부 사령관이자 국가안보국(NSA) 국장인 폴 나카소네 장군을 사칭하여 여성을 로맨스 사기에 끌어들이려 했습니다. 사기꾼은 장군의 신분을 이용하여 소셜 미디어 플랫폼에서 여성과 허위 이메일 대화를 시작했습니다. 한 예로, 사기꾼은 시리아에 주둔하고 있다고 주장하면서 여성에게 종교적인 메시지를 보냈고, Google 행아웃을 통해 소통할 것을 요청했습니다.

스미싱 공격 예방 조치

스미싱 공격의 결과는 금전적인 손실 그 이상입니다. 신뢰를 무너뜨리고 개인 정보를 침해하며 피해자에게 감정적인 상처를 남길 수 있습니다.

스미싱 공격을 미리 예방할 수 있는 효과적인 몇 가지 방법을 살펴보겠습니다.

#1. 인식 및 교육

오늘날과 같이 상호 연결된 디지털 환경에서는 민감한 정보를 보호하기 위해 조직이 직원들에게 지식을 제공하는 것이 필수적입니다.

ID Agent의 보고서에 따르면 기업은 스미싱 공격으로 인해 평균 15,000달러의 비용을 부담해야 합니다. 이러한 재정적 영향은 팀 교육의 필요성을 시사합니다.

보이지 않는 사이버 위협에 대한 방어력을 강화하려면 스미싱에 대한 포괄적인 교육을 최우선 과제로 삼고 조직 전체에 인식을 확산시켜야 합니다. 이를 통해 모든 직원이 이러한 악의적인 공격에 대비하고 지능적으로 대응할 수 있게 될 것입니다.

또한 스미싱 공격에 대한 통찰력을 제공하는 정기적인 워크숍에 참여하면 직원들이 합법적인 메시지와 잠재적인 사기를 구별할 수 있습니다. 의심스러운 링크, 긴급한 요구 또는 예기치 않은 요청을 식별하는 능력을 갖추게 되면 이러한 악의적인 시도에 대한 강력한 방어선 역할을 할 수 있습니다.

#2. 발신자 신원 확인

사기 메시지가 받은 편지함에 자연스럽게 섞여 들어올 수 있는 세상에서 경계심을 갖는 것은 첫 번째 방어선입니다. 즉각적인 조치를 요구하거나 민감한 데이터를 요청하는 문자를 받으면 시간을 내어 발신자의 자격 증명을 자세히 조사하십시오.

발신자의 전화번호나 이메일 주소가 해당 기관의 공식 연락처 정보와 일치하는지 다시 확인하십시오. 합법적인 단체는 민감한 정보를 요청하기 위해 문자 메시지를 사용하지 않는다는 점을 명심하십시오.

발신자의 신원을 확인함으로써 스미싱 공격의 대상이 될 가능성을 크게 줄일 수 있습니다.

#3. 문자 메시지에 주의하기

디지털 자산을 보호하려면 이메일부터 문자 메시지에 이르기까지 신중하게 접근해야 합니다. 사이버 범죄자들은 문자 메시지의 편리함과 친숙함을 악용하여 사용자를 조작하는 경우가 많습니다.

따라서 모르는 사람으로부터 이메일을 받을 때처럼 모든 문자 메시지에 조심스럽게 접근해야 합니다. 발신자가 익숙하지 않다면 링크를 클릭하거나 콘텐츠를 즉시 다운로드하지 마십시오. 메시지가 이상하거나 예상치 못한 요청을 하는지 자세히 살펴보십시오.

#4. 모바일 장치 보안

개인 정보와 민감한 정보가 가득한 모바일 장치를 사용하는 시대에는 보안을 최우선으로 생각하는 것이 중요합니다.

스미싱 공격에 효과적으로 대처하려면 지문 인식이나 얼굴 인식과 같은 생체 인식 잠금 장치와 같은 고급 보안 기능을 구현하십시오. 이는 추가적인 방어선을 구축하고 전반적인 데이터 보호를 강화합니다.

최적의 보안을 유지하려면 최신 보안 패치 및 업데이트를 설치해야 합니다. 모바일 장치를 정기적으로 업데이트하면 잠재적인 사이버 위협에 대한 강력한 방어를 구축할 수 있습니다. 이러한 사전 예방적 조치를 통해 악의적인 사용자가 악용할 수 있는 취약점으로부터 사용자를 보호할 수 있습니다. 또한, 스미싱 위협에 대한 강력한 방어벽을 구축하기 위해 보안 장비에 투자하십시오.

#5. 다단계 인증 활용

디지털 데이터를 강화하려면 다단계 인증(MFA)을 구현하는 것이 효과적인 전략입니다. MFA는 암호 기반 보안 외에도 추가적인 인증 계층을 요구합니다. 여기에는 일반적으로 다른 장치로 전송되는 코드나 지문 스캔이 포함됩니다.

이러한 다층적인 보안 시스템을 통합하면 계정 침해를 시도하는 공격자의 복잡성이 증가합니다. 이는 사기 시도로부터 사용자를 보호하는 강력한 보호막 역할을 합니다.

#6. 강력한 암호 사용

휴대폰, 컴퓨터 및 기타 장치에는 많은 개인 정보가 저장되어 있습니다. 데이터를 안전하게 보호하는 간단하고 효과적인 방법은 각 장치에 강력한 암호를 사용하는 것입니다.

문자, 숫자, 기호 및 대소문자를 조합하여 강력한 암호를 만드십시오. 이를 통해 해커가 사용자의 암호를 추측하기가 더욱 어려워집니다. 이는 잠재적인 스미싱 공격자를 차단하고 전반적인 디지털 보안을 강화하는 데 도움이 됩니다.

#7. 스미싱 공격 신고

정보에 밝고 책임감 있는 개인으로서 사이버 범죄와의 전쟁에서 사용자의 역할은 매우 중요합니다. 관련 당국에 사건을 신고함으로써 경찰 및 기타 관계자가 이러한 공격에 책임이 있는 범죄자를 검거하는 데 도움을 줄 수 있습니다.

또한 친구, 가족 및 동료에게 이러한 사건을 알리는 것도 중요합니다. 함께 노력하면 악성 메시지 확산을 막고 모든 사람의 안전을 강화할 수 있습니다.

#8. 암호화된 메시지 앱 사용

민감한 정보를 공유해야 할 때에는 암호화된 메시지 앱을 사용하는 것이 현명한 선택입니다. 이러한 앱은 고급 기술을 사용하여 메시지를 지정된 수신자만 이해할 수 있는 암호화된 언어로 변환합니다. 이를 통해 메시지를 안전하게 보호할 수 있습니다.

금전 거래에 대한 이야기든, 개인 정보에 대한 이야기든, 암호화된 메시지 앱은 개인 정보 보호 수준을 한 단계 더 높여줍니다. 적절한 사람만이 메시지를 잠금 해제하고 읽을 수 있습니다. 또한 친구 및 가족에게 이러한 앱을 사용하도록 권장하면 온라인에서 대화할 때 모든 사람이 더욱 안전해질 수 있습니다.

마지막 말

사기꾼들은 문자 메시지를 사용하여 개인을 속여 개인 정보를 공개하거나 위험한 링크를 클릭하도록 유도합니다. 그렇기 때문에 오늘날 스미싱 공격에 대한 경계심을 유지하는 것이 중요한 이유입니다.

강력한 방어 체계를 구축하려면 팀을 교육하고, 발신자 세부 정보를 확인하고, 문자 메시지에 주의를 기울이고, 장치를 안전하게 유지하며, 다단계 인증 및 강력한 암호와 같은 강력한 보안 조치를 구현하십시오.

또한 의심스러운 문자를 신고하고 암호화된 메시지 앱을 사용하여 보안을 강화하십시오. 이러한 노력은 모두를 위한 더욱 안전한 디지털 세상에 기여할 것입니다.

다음으로, 일반적인 WhatsApp 사기와 이에 대비하는 방법을 확인해 보세요.