스미싱(SMS 피싱)이란 무엇인가요? 사례 및 수법

스미싱은 SMS 피싱이라는 더 큰 범주에 속합니다. 사기꾼들은 짧은 문자 메시지 서비스를 이용해 피해자를 속여 개인 정보, 비밀번호, 돈 또는 은행 계좌에 접근할 수 있기 때문입니다. 사기꾼들은 은행, 정부 기관, 기타 신뢰할 수 있는 기업 등 평판이 좋은 기관에서 보낸 것처럼 메시지를 작성합니다. 연방거래위원회(FTC)에 따르면, 은행 사칭이 가장 흔한 문자 메시지 사기이며, 전체 스미싱 메시지의 10%를 차지합니다.

스미싱 메시지를 발송하는 핵심 목적은 수신자가 악성 링크를 클릭하거나, 회신을 통해 개인 정보를 유출하거나, 악성코드나 기타 유해 콘텐츠를 다운로드하도록 속이는 데 있습니다. 메시지는 합법적으로 보이지만, 의심하지 않는 피해자를 희생시켜 금전적 이익을 취하려는 은밀한 의도로 제작됩니다. 사이버 범죄자들이 공격 수단으로 스미싱을 점점 더 많이 활용하는 진짜 이유는 휴대폰이 일상생활에 거의 필수적인 보조 수단이 되었고, 사용자들이 이메일보다 문자 메시지를 더 신뢰하기 때문입니다.

본 글에서는 스미싱을 상세히 살펴보겠습니다: 작동 방식, 경고 신호 인식 방법, 그리고 스미싱과 기존 피싱의 차이점입니다. 또한 공격이 직원 인증 정보 유출이나 대규모 데이터 침해로까지 이어질 수 있으므로 스미싱이 기업에 미치는 영향도 추가로 고려하겠습니다. 더불어 사이버 범죄자들이 주로 사칭과 긴급함을 가장해 피해자를 속이는 스미싱 공격을 어떻게 수행하는지 그 방법을 알려드리겠습니다.

스미싱(SMS 피싱)이란 무엇인가요?

스미싱은 피싱 공격입니다. 이러한 공격에서는 은행, 상점, 정부 기관과 같은 합법적인 사이트에서 보내는 메시지와 유사한 악성 메시지가 휴대폰으로 전송됩니다. 공격자는 피해자가 악성 링크를 클릭하거나 문자 메시지를 통해 민감한 정보로 가득 찬 양식을 작성하도록 유도합니다.

이러한 사기는 신원 도용, 개인 또는 기업 계정에 대한 무단 접근, 금융 사기로 이어질 수 있습니다. 모바일 통신 수요가 증가함에 따라 스미싱은 무고한 사용자를 노리는 사이버 범죄자들이 가장 많이 활용하는 수단 중 하나로 부상했습니다.

스미싱의 일반적인 징후

스미싱 메시지는 신뢰할 수 있는 기관에서 온 것처럼 보입니다. 그러나 스미싱임을 암시하는 징후들이 있습니다. 다음은 흔히 나타나는 징후들입니다:

• 은행 계좌를 잠그거나 미납금을 지불하라는 등 긴급한 조치를 요구하는 메시지.
• 계정 로그인이나 정보 업데이트를 요구하는 의심스러운 링크가 포함된 메시지.
• 비밀번호, 신용카드 번호 또는 사회보장번호를 요구하는 경우.
• 철자나 문장 부호가 엉망인 경우. 이는 발신자가 사기꾼일 수 있음을 시사합니다.
• 신뢰할 수 없거나 전문적이지 않은 전화번호가 포함된 경우.

스미싱과 피싱의 차이점

스미싱은 피싱 공격과 공격 수단이 다릅니다. 일반적인 피싱 공격은 주로 이메일을 통해 이루어지는 반면, 스미싱은 SMS 메시지를 통해 발생합니다. 사이버 범죄자들은 합법적인 기관을 사칭하고 일상적인 커뮤니케이션에서 사용자의 신뢰를 악용하기 위해 하나 또는 두 가지 전술을 모두 사용합니다.

각 공격의 목표는 정보 데이터를 획득하는 것이지만, 이를 위한 접근 방식과 전략은 상당히 다를 수 있습니다. 그러나 이러한 각 접근 방식을 이해하는 것은 공격을 효과적으로 식별하고 방어하기 위해 매우 중요합니다.

• 피싱:  피싱은 주로 이메일 형태로 발생하며, 공격자는 은행, 온라인 소매업체, 심지어 정부 기관과 같은 신뢰할 수 있는 출처에서 발송된 것처럼 위장한 메시지를 보냅니다. 대개 이러한 이메일에는 계정 업데이트, 첨부 파일 다운로드, 개인 정보 입력 등을 위한 링크 클릭과 같은 행동 유도가 포함되어 있습니다. 피싱 이메일은 사용자를 사기 사이트로 유도하여 로그인 정보를 탈취하거나 컴퓨터 기기에 악성코드를 다운로드하게 할 수 있습니다. 시간이 지남에 따라 사람들은 피싱 이메일에 대한 인식이 높아져, 개선된 이메일 필터와 사이버 보안 인식 프로그램 덕분에 피싱 이메일을 거의 쉽게 알아차릴 수 있게 되었습니다.
• 스미싱: 스미싱(SMS 피싱)은 휴대폰 문자 메시지를 통해 발생합니다. 이러한 메시지는 개인 휴대폰에 표시되므로 피싱 이메일보다 더 큰 긴급성을 띠고 진지한 어조로 전송됩니다. 주로 신속하고 직접적인 의사소통에 사용되기 때문에 사용자는 의심하지 않고 메시지를 믿거나 즉시 행동할 가능성이 높습니다. 스미싱 메시지는 링크 클릭, 개인정보 회신, 특정 번호로의 전화 걸기 등을 유도할 수 있습니다.

스미싱이 기업에 미치는 영향

성공적인 스미싱 공격은 데이터 유출 및 운영 중단과 같은 극심한 손실을 조직에 초래합니다. 이러한 유형의 공격은 개별 직원뿐만 아니라 재정적·평판적 손실에 노출될 수 있는 모든 네트워크에 문제를 야기합니다.

스미싱이 기업에 초래하는 위험은 다음과 같습니다:

• 민감한 데이터 유출: 스미싱 공격은 직원의 민감한 인증 정보나 중요한 기업 데이터가 도난당하는 결과를 초래할 수 있습니다. 공격자는 종종 속임수 메시지를 이용해 직원으로부터 로그인 정보, 계정 세부 정보, 또는 기타 민감한 정보를 빼내려고 합니다. 이러한 자격 증명을 통해 접근 권한을 획득한 후, 악의적인 공격자는 기업 시스템에 침투하거나 독점 정보를 훔치거나 이를 이용해 훨씬 더 정교한 사이버 공격을 시작할 수 있습니다. 기밀 고객 데이터나 지적 재산을 다루는 기업에게 이러한 유출은 규정 준수 문제나 법적 파장을 초래할 수 있어 치명적일 수 있습니다.
• 금융 사기: 스미싱 공격은 직접적인 금전적 손실로 이어집니다. 예를 들어, 사이버 도둑들은 고위 경영진이나 재무 부서로 위장하여 자금 이체 요청이나 결제 승인 요청을 암시하는 매우 설득력 있는 문자 메시지를 보낼 수 있습니다. 스미싱의 일반적인 특징에 익숙하지 않은 직원들로 인해 조직이 막대한 금액을 잃게 될 수 있습니다. 경우에 따라서는 회사는 보험 청구 문제나 사기 계좌로 송금된 자금을 회수하지 못하는 문제도 겪을 수 있습니다.
• 평판 손상: 공격이 성공하면 회사의 평판이 심각하게 훼손됩니다. 고객이나 파트너가 해당 기업이 이러한 공격에 노출되었다고 느끼면 신뢰를 잃을 수 있습니다. 예를 들어, 스미싱 사기가 직원을 악용하여 고객 정보 유출로 이어진다면, 이는 대중의 항의, 부정적인 여론, 심지어 사업 손실로 이어질 수 있습니다. 금융이나 의료와 같이 규제가 엄격한 산업의 경우, 민감한 정보 유출은 처벌 조치로 이어질 수도 있습니다. 이는 사업 상태와 이미지를 더욱 훼손할 것입니다.
• 운영 중단: 스미싱 공격으로 인해 비즈니스 운영이 심각하게 중단될 수 있습니다. 이러한 접근은 공격자가 핵심 시스템을 손상시키거나 생산성과 운영 효율성에 영향을 미치는 악성코드를 배포함으로써 시스템 다운타임을 초래할 수 있습니다. 일부 사례에서는 기업이 침해 사태를 통제하고 결과적 피해를 최소화하기 위해 운영 일부를 중단해야 했습니다. 시스템 복구, 침해 조사 수행, 보안 프로토콜 강화 등 이러한 공격으로부터의 복구는 비용이 많이 들고 시간이 오래 걸려 기업의 귀중한 자원을 소모합니다.

스미싱은 어떻게 작동하나?

스미싱 공격은 일반적으로 대상 개인이 민감한 정보를 공개하거나 피싱 웹사이트에 접속하도록 속이기 위해 잘 계획되고 실행된 방식으로 이루어집니다. 이러한 사기는 신뢰와 긴급함을 기반으로 합니다.

공격자는 피해자가 위험을 충분히 고려할 틈도 주지 않고 즉각 반응하도록 유도하기 위해 허구의 긴급성을 조작합니다. 일반적으로 다음과 같은 방식으로 진행됩니다:

1. 미끼: 공격은 먼저 은행, 정부 기관, 배송 회사 또는 대형 유통업체와 같이 신뢰할 수 있는 기관에서 보낸 것처럼 보이는 문자 메시지로 나타납니다. 이러한 메시지는 일반적으로 익숙한 로고, 언어 또는 형식을 사용하여 가능한 한 공식적으로 보이도록 제작되어 수신자가 메시지가 명시된 기관에서 온 것이라고 믿게 만듭니다. 이 시점에서 미끼는 피해자의 주의를 끌고 메시지를 믿게 하는 데만 목적이 있습니다.
2. 후크: 그런 다음 메시지는 긴급함이나 두려움을 느끼게 하여 수신자에게 신속한 행동을 촉구합니다. 은행 계좌 문제, 미납금, 배송 문제 등을 시급히 해결해야 한다고 주장할 수 있습니다. 피해자에게 링크 클릭, 특정 전화번호로 전화 걸기, 로그인 정보나 계좌 번호 같은 민감한 정보를 회신하도록 요구할 수 있습니다. 이는 스미싱의 핵심 전략으로, 피해자가 메시지의 진위 여부를 확인할 시간도 없이 긴급한 상황에 따라 반응하도록 강요하기 때문입니다.
3. 기만(Deception): 피해자가 지시를 따를 경우, 실제 사이트와 거의 똑같이 보이는 가짜 웹사이트로 이동하게 됩니다. 해당 사이트는 사용자 이름, 비밀번호, 신용카드 정보 등 개인 정보를 요구할 수 있습니다. 때로는 메시지가 피해자의 정보를 직접 획득하는 대신 악성 코드를 피해자의 기기에 다운로드하도록 유도하기도 합니다. 이 악성 코드는 명령을 기다리며 다른 민감한 정보나 인증 정보를 가로채거나 훔칠 뿐만 아니라, 공격자가 원격으로 기기에 접근할 수 있는 가능성까지 열어둡니다.
4. 도용: 이 단계 또는 데이터 도용 직후, 이 유형의 사이버 공격자는 피해자로부터 개인 정보, 금융 계좌 또는 민감한 비즈니스 정보를 추출합니다. 일반적으로 도난당한 데이터는 다크 웹에서 판매되며, 이후 신원 도용, 무단 은행 송금, 기업 시스템에 대한 추가 공격 등 피해자를 더욱 악용하는 데 사용될 수 있습니다.

Singularity™ 플랫폼과 같은 AI 기반 탐지 시스템은 스미싱 시도를 실시간으로 식별하여 더 빠른 대응을 보장할 수 있습니다.

사이버 범죄자들이 사용하는 일반적인 스미싱 전술

사이버 범죄 공격자들은 스미싱 메시지를 유효하게 보이게 하고 수신자가 즉각적인 조치를 취하도록 강요하기 위해 다양한 수단을 사용합니다. 공격자들은 신뢰, 긴급함, 호기심 등을 이용해 피해자가 개인 정보를 유출하거나 유해한 링크를 통해 다른 악의적인 행동에 가담하도록 속입니다.

공격자들이 자주 사용하는 스미싱 기법은 다음과 같습니다.

• 사칭: 가장 흔한 방법은 은행, 온라인 쇼핑몰, 정부 기관 등 유명 브랜드의 이름을 사용하여 가짜 이미지를 만드는 것입니다. 신뢰할 수 있는 출처에서 온 것처럼 작성된 메시지는 익숙한 로고와 문구, 합법적으로 보이는 연락처 정보를 포함하여 수신자가 메시지를 신뢰하고 지시대로 행동하도록 유도합니다. 피해자는 신뢰할 수 있는 기관에 대한 조치라고 가정하며 이를 따르게 됩니다.
• 긴급성과 공포: 사이버 범죄자들은 종종 피해자에게 긴급함이나 공포감을 조성합니다. 예를 들어, 보안 경고, 계정 정지 또는 즉각적인 조치가 필요한 의심스러운 활동이 발생할 것이라고 예측하는 메시지를 보냅니다. 공포를 유발하면 피해자가 주의를 기울이지 않고 링크를 클릭하거나 진위 여부를 확인하지 않은 채 민감한 정보를 넘기도록 유도합니다.
• 유혹적인 제안: 이것은 또 다른 흔한 수법으로, 상금이나 기프트 카드 같은 매력적인 제안을 돈과 교환하거나, 독점 세일, 무료 보상을 돈이나 정보와 교환하는 식으로 이용합니다. 메시지는 상품이 동봉되어 있거나 혜택이 곧 종료될 것이라고 주장하지만, 개인 정보나 클릭을 대가로 요구합니다. 이러한 유혹은 상품이나 할인에 대한 욕구를 강화하여 사람들이 사기에 더 취약해지게 만듭니다.
• 배송 알림: 사기꾼들이 특히 휴일 기간에 자주 사용하는 또 다른 방법입니다. 예를 들어, 이번 휴가 시즌에는 메시지에 따르면 택배가 오거나 배송이 지연되었다고 하며, 수신자에게 링크를 클릭하여 추적 정보를 확인하도록 요청합니다. 많은 사람들이 특정 시기에 배송을 기대하고 있기 때문에 이는 매우 설득력 있게 느껴져 참여 가능성이 높아집니다.

스미싱 공격 식별 방법

스미싱 공격을 알아채기는 상당히 어렵지만, 공식 문자 메시지와 사기 문자를 구분할 수 있는 몇 가지 징후가 있습니다.

주의를 기울이고 주의할 점을 인지한다면, 이러한 사기에 당하지 않도록 스스로를 보호할 가능성이 높아집니다. 잠재적인 스미싱 공격을 식별하는 몇 가지 좋은 방법은 다음과 같습니다:

1. 발신자 번호 확인하기: 문자를 수신했을 때 가장 중요한 조치 중 하나는 먼저 해당 문자가 발신된 번호를 확인하는 것입니다. 스패머와 사기꾼들은 대개 의심스럽거나 스팸으로 보이는 알 수 없는 번호나 원치 않는 번호로 메시지를 보냅니다. 해당 번호가 기억나지 않거나 주소록에 없고, 일반적인 짧은 코드라면 매우 주의하세요. 합법적인 기관들은 보통 인증되고 등록된 전화번호로 연락합니다.
2. 예상치 못한 요청 확인하기: 비밀번호, 사회보장번호, 신용카드 번호 등 개인 정보를 요구하는 문자 메시지에 주의하세요. 합법적인 기관은 문자 메시지로 이러한 정보를 요청하지 않습니다. 사전 통보 없이 계정 인증이 필요하다는 내용과 함께 개인 정보를 요구하는 메시지는 스미싱(smishing)일 가능성이 매우 높습니다.
3. 링크를 꼼꼼히 확인하세요: 메시지에 링크가 포함된 경우, 클릭하지 않고 마우스를 올려 링크가 연결되는 URL을 확인하세요. 이를 통해 의심스러운 사이트나 알 수 없는 사이트로 연결되는지 확인할 수 있습니다. 철자를 확인하세요. 철자는 해당 기관의 공식 웹사이트와 동일해야 합니다. 원치 않는 메시지에서 온 링크는 클릭하지 마세요. 이는 주로 정보를 탈취하기 위한 가짜 사이트로 연결될 수 있습니다.
4. 본능을 믿으세요: 문자 메시지를 평가할 때 본능을 믿으세요. 때로는 뭔가 수상쩍다는 느낌이 들거나, 해당 메시지가 주장하는 회사의 성격과 전혀 맞지 않는 경우도 있습니다. 이는 사기일 수 있습니다. 메시지의 어조와 사용된 언어에도 주의를 기울이세요. 스미싱 시도는 문법 오류나 철자 실수가 잦은데, 이는 사기 메시지의 흔한 증거입니다. 뭔가 이상하다고 느껴지면 해당 기관에 직접 전화하세요. 공식적으로 승인된 경로를 통해 연락하세요. 해당 기관에서 보낸 메시지인지 아닌지 알려줄 것입니다.

스미싱 방지 방법: 스미싱 대응 모범 사례

스미싱 공격으로부터 개인과 기업을 효과적으로 보호하기 위한 몇 가지 모범 사례가 있습니다. 사전에 조치를 취하고 정보를 얻고자 한다면, 이러한 사기에 속아 넘어가는 것과 관련된 위험을 최소화할 가능성이 높습니다.

스미싱을 막기 위해 실천할 수 있는 효과적인 전략은 다음과 같습니다:

1. 원치 않거나 예상치 못한 문자 메시지의 링크를 클릭하지 마세요: 스미싱을 피하는 가장 좋은 방법은 원치 않거나 예상치 못한 문자 메시지의 링크를 절대 클릭하지 않는 것입니다. 링크 클릭을 요구하는 메시지를 받았다면, 잠시 기다린 후 신뢰할 수 있는 사람이나 기관에서 보낸 것인지 확인한 후 클릭하세요. 이러한 링크를 클릭하면 정보를 훔치거나 기기에 악성코드를 설치하는 유해한 사이트로 연결될 수 있습니다.
2. 발신자 확인하기: 조직이나 회사로부터 온 것처럼 보이는 의심스러운 문자를 받은 경우, 공식 경로를 통해 해당 기관에 연락하여 발신자를 확인해 보십시오. 문자 내용에 답변하거나 메시지에 제공된 연락처 정보를 사용하지 마십시오. 이 역시 사기일 수 있습니다. 해당 메시지가 진위 여부를 확인할 수 있는 연락처 정보를 회사의 공식 웹사이트를 통해 확인하는 것이 현명합니다.
3. 의심스러운 메시지에 답장하지 마세요: 개인 정보나 금융 정보를 요구하는 메시지에 절대 답장하지 마십시오. 합법적인 기관은 문자 메시지로 민감한 데이터를 요구하는 경우가 거의 없습니다. 그러한 정보를 요구하는 메시지는 스미싱일 가능성이 높습니다. 일반적으로 가장 좋은 조치는 메시지를 삭제하는 것입니다.
4. 스팸 필터 활성화: 휴대폰 기기에서 스팸 필터링 기능을 지원하는 경우 이를 활성화하세요. 스팸 필터링은 원치 않는 메시지가 수신함을 가득 채우는 것을 제한할 수 있으며, 유효한 정보를 더 잘 걸러낼 수 있습니다. 스팸 필터를 구성하는 것은 스미싱 공격의 효과를 줄이는 데도 도움이 됩니다.&
6. 스미싱 신고하기: 스미싱 시도를 받으면 통신사나 지역 당국에 신고하세요. 대부분의 통신사는 사기 문자를 신고할 수 있는 시스템을 갖추고 있어 사기꾼에 대한 조치를 취하는 데 도움이 됩니다. 신고는 또한 인식을 높이고 다른 사람들이 유사한 공격으로부터 보호받는 데 기여합니다.
7. 직원 교육: 스미싱의 위험성과 식별 방법을 직원들에게 교육하는 것은 기업에게 필수입니다. 직원들은 스미싱 기법, 경고 신호, 기밀 데이터에 대한 적절한 보안 조치에 대해 경계심을 높일 수 있도록 정기적으로 교육을 받아야 합니다. 교육받은 직원은 조직 내 보안 문화 구축에 있어 가장 중요한 자산이라 할 수 있습니다.

흔히 접하는 스미싱 사례

사이버 범죄자들이 스미싱 공격에 사용하는 메시지 유형을 파악하면 이러한 사기로 인한 원치 않는 상황을 식별하고 피하는 데 도움이 됩니다. 다음은 여러분이 접할 수 있는 가장 흔한 스미싱 메시지 사례입니다:

1. 은행 계좌 잠금 알림"귀하의 은행 계좌가 잠겼습니다. 신원 확인을 위해 여기를 클릭하세요: [악성 링크]." 이러한 유형의 사기는 긴급함을 유발합니다. 계정을 되찾기 위해 즉시 조치를 취해야 한다고 생각하게 만듭니다. 해당 링크는 일반적으로 로그인 정보를 탈취하는 피싱 사이트로 연결됩니다.
2. 택배 배송 알림“귀하의 택배 배송이 지연되었습니다. 재조정을 위해 여기를 클릭하세요: [악성 링크].” 이러한 메시지는 특히 휴가 시즌에 택배를 받는 일반적인 경험을 이용합니다. 피해자는 문제를 해결하기 위해 링크를 클릭하도록 유도되지만, 이는 단순히 사기 웹사이트로 직접 연결되어 개인 정보를 요구할 수 있습니다.
3. 경품 당첨 알림“500달러 상당의 기프트 카드를 당첨되셨습니다! 지금 당첨금을 받으러 가세요: [악성 링크]. 이러한 메시지는 수신자의 경솔함과 잠재적 상품에 대한 열망을 악용합니다. 그러나 링크는 종종 "상품"을 수여한다는 명목으로 개인 정보를 수집하려는 페이지로 연결되어 귀하의 정보를 위험에 빠뜨립니다.
4. 의심스러운 활동 알림” 긴급: 귀하의 계정에서 의심스러운 활동이 감지되었습니다. 계정 보안을 위해 사용자 이름과 비밀번호를 회신해 주십시오." ” 이러한 메시지는 허위 안전감을 조성하면서 민감한 정보를 직접 공유하도록 요구합니다. 합법적인 기관은 문자 메시지를 통해 민감한 데이터를 요구하지 않으므로, 이는 매우 위험 신호입니다.

결론

스미싱은 개인뿐만 아니라 기업에도 위험을 초래하므로 사이버 세계에서 심각하고 빠르게 진화하는 위협 형태로 간주됩니다. 사이버 범죄자들이 사기 수법을 끊임없이 진화시키고 있으므로, 이러한 사기가 어떻게 작동하는지, 그리고 잠재적 위험을 어떻게 식별할 수 있는지 항상 최신 정보를 파악하는 것이 필수적입니다. 공격자들이 사용하는 다른 수법들 중 스미싱의 가장 흔한 징후를 파악하고 이를 효과적으로 방지하는 방법을 알면 개인 정보를 보호하는 데 더 잘 대비할 수 있습니다.

신뢰할 수 있는 기관은 절대 SMS로 민감한 정보를 요구하지 않으며, 원치 않는 문자 메시지에 대해 각별히 주의해야 합니다. 경계심을 갖고 주의를 기울이면 이러한 악의적인 공격의 피해자가 될 가능성을 줄일 수 있습니다. 공격이 의심될 경우 관련 당국에 신고하고, 즉시 계정 보안을 강화하는 조치를 취하십시오. 스미싱 및 진화하는 위협에 대한 포괄적인 보호를 위해 Singularity™ Endpoint Security가 모든 공격 경로에 걸쳐 방어 체계를 어떻게 강화하는지 알아보십시오.