스미싱 및 파밍 대응책

Q1. 최근 잇달아 발생하고 있는 스미싱 및 파밍의 원천적인 해결책은 없는 것인가? 만약 원천적인 해결책이 없다면 스미싱과 파밍으로 나눠 피해 최소화를 위한 대책과 팁을 알려달라.

 

A1. 최근 스미싱의 경우 안드로이드에만 해당하는 공격으로 스마트폰 설정에 '알 수 없는 출처'를 허용하지 않도록 설정해 두어도 상당한 보안 효과를 볼 수 있으며, 무료 스미싱 감시 앱을 이용하는 방법도 있다. 파밍의 경우 평소  PC가 악성코드에 감염되지 않도록 알 수 없는 출처의 이메일이나 프로그램 등은 열거나 실행하지 않도록 하는 습관을 가져야 하며 백신도 항상 최신 업데이트를 유지해야 한다. 또한 파밍 전용 백신 또는 보안 프로그램을 활용하는 것도 파밍을 예방하는 데 도움이 된다.

(김선종 이니텍 차장)

 

A2. <스미싱 및 파밍 해결책>

스미싱 피해 예방을 위해 한국인터넷진흥원에서는 자체 탐지 또는 외부 신고에 의한 악성앱 다운로드 주소를 차단하고 있으며, 2014년부터 이통사와 협력하여 탐지 및 차단 범위를 확대할 예정이다. 또한 파밍 피해 예방을 위해 2013년 9월부터 파밍 알리미 서비스를 통해 파밍 사이트로의 접속을 사전에 차단하고 있다.

 

<파밍 피해 최소화 대책>

계좌이체 등에 사용하는 비밀번호를  OTP(일회성 비밀번호)로 대체하여 비밀번호의 안정성을 강화할 수 있으며 이 OTP 생성기는 은행에서 신청하여 발급받을 수 있다. 또한, 2013년 9월 26일부터 시행 중인 전자금융사기 예방서비스에 가입하여 계좌이체 등의 서비스를 이용할 수 있는 단말기를 지정하거나 2채널 인증(휴대폰 SMS, 전화 승인)방법을 적용하여 피해를 최소화할 수 있다.

 

<스미싱 피해 최소화 대책>

이동통신사에 소액결제차단 서비스를 신청하여 소액결제 피해를 차단한다. 또한 폰키퍼 등 스마트폰 보안 앱 및 백신 설치와 스마트폰의 설정 메뉴에서 '알 수 없는 출처 앱 설치 옵션'을 해제하여 불법 악성앱 설치로 인한 피해를 최소화할 수 있다.

(김정욱 한국인터넷진흥원 침해사고탐지팀)

 

 

A3. 스미싱에 대한 피해는 대부분 청첩장 등으로 위장하여 SMS 문자 방식으로 배포되고 있으며 SMS 문자 안에 악성파일의 다운로드 링크주소를 삽입해 사용자에게 다운받도록 유도한다. 스미싱에 대한 해결책은 다음과 같다.

 

① 허위 문자의 다운로드 링크주소를 다운받지 않도록 링크주소를 들어가지 않아야 한다.

② 안드로이드 디바이스 환경설정에서 보안에서 알 수 없는 출처 부분을 체크 해제하여 사용하도록 한다.

③ 안드로이드 안티 바이러스 제품을 사용하도록 한다.

 

최근에 파밍 사이트들은 내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱 사이트인지 판가름하기 어려울 정도로 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다.

파밍 사이트에 진위 여부를 확인할 수 있는 방법은 과도하게 금융정보를 요구하는 웹사이트가 있다거나 보안카드의 전체 비밀번호를 동시에 요구하는 경우 모두 악성 파밍 사이트로 보면 된다. 정상적인 금융 사이트에서는 민감한 개인정보 입력을 요구하지 않는다.

(허진성 한국산업기술보호협회 관제운영팀 연구원)