스미싱 수법 진화… 아이폰도 뚫렸다

삼성 앱카드 명의도용… 결제 피해 발생
아이폰자체 보안 맹점 분석 조직적 준비
근본 대책 없이 `URL접속 주의` 만 당부

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리
휴대폰 문자사기(스미싱)에서 비교적 안전지대로 평가됐던 애플 아이폰마저 스미싱에 당해 이용자들에게 충격을 주고 있다. 스미싱 수법은 갈수록 교묘해지고 있는데, 당국의 대응책은 여전히 `URL 접속 주의'를 당부하는 데 그치고 있어 근본적인 대책마련이 요구된다.

12일 금융감독원은 삼성카드의 모바일카드(앱카드)가 명의도용을 당해 6000만원 가량의 금전적 피해가 발생했다고 밝혔다. 피해 건수도 300여건에 달한다.

한 금융보안 전문가는 "이번 사건은 해커 일당이 이용자의 스마트폰에 스미싱을 보내 감염을 시킨 뒤 앱카드 발급에 필요한 인증문자를 중간에서 가로채 결제를 한 사례"라면서 "안드로이드 폰 뿐만 아니라 애플 아이폰까지도 스미싱에 당한 것이 이례적"이라고 말했다.

그동안 스미싱으로 인한 각종 사기 피해는 주로 구글 안드로이드 운영체제를 탑재한 스마트폰에 해당됐다. 구글의 앱 장터인 구글플레이는 앱에 대한 사전 검증을 하지 않기 때문에 해커가 스마트폰의 개인정보를 빼가거나 악성코드에 감염되는 앱을 올려도 사실상 구분할 방법이 없었기 때문이다. 특히 사설 앱장터를 개설할 수 있는 구조적인 취약점이 있어, 해커가 공식 앱 장터를 우회하는 방법을 써 악성앱을 퍼뜨리기도 한다.

반면, 애플의 앱스토어는 철저한 사전검증 방식이기 때문에 이용자 모르게 악성앱이 다운로드 되는 방식의 스미싱 사기에서 상대적으로 자유로웠다.

그런데 이번 삼성카드 앱카드 도용사건에서는 이같은 공식이 무너졌다. 안드로이드 폰은 물론이고 아이폰까지 스미싱 사기를 당해 명의도용으로 인한 피해가 발생한 것이다.

금융보안 전문가는 "앱카드는 결제를 할 때 일회성 카드번호를 발급받기 때문에 해킹사고에서 비교적 안전한 편이었는데, 이번 명의도용 사고는 일회성 카드번호를 발급해주는 단말기 자체의 본인인증 절차를 공략한 것이었다"고 설명했다.

앱카드를 발급받고 결제를 하기 위해서는 해당 카드와 스마트폰 이용자가 본인임을 확인하는 최초 인증이 필요한데, 이 최초 인증을 위한 인증문자를 해커가 가로채 가짜 인증을 받고 명의를 도용해 결제를 한 것이다.

이 전문가는 "아이폰은 기기 고유번호를 금융기관 등 외부기관이 확인할 수 없도록 해놨는데, 해커는 이 부분을 노려 가짜 고유번호를 보내고 인증번호를 가로채 앱카드를 도용했다"고 설명했다. 안드로이드폰의 경우 스미싱에 당하기도 쉽지만 기기 고유번호를 금융기관에서 확인할 수 있기 때문에 해커가 인증번호를 탈취할 경우 사기라는 것을 구분하는 것이 상대적으로 용이하다는 것이 이 전문가의 설명이다.

그는 "스미싱이 단순 소액결제 탈취 등에서 벗어나 본격적인 금융범죄로 확산되는 등 수법이 갈수록 교묘해지고 있다"면서 "이번 사건 역시 일개 해커가 벌인 일이 아니라 앱카드의 보안 약점에 대한 사전 연구, 아이폰 자체의 보안 맹점 등에 대한 치밀하고 조직적인 준비를 한 것으로 보인다"고 분석했다. 그는 또 "현 상태에서 이용자는 스미싱 사기에 대해 그저 `조심하는 것'외에는 마땅한 방법이 없는 게 현실"이라며 "전자금융거래가 상당한 편리를 제공했지만 역기능 또한 부메랑으로 작용하고 있다"고 지적했다.

강은성기자 esther@

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

추천기사