소사이어티

사람들

arrow_downward최신기사

스미싱

“긴급생활비 드립니다” 눌렀더니 개인정보 ‘탈탈’

"긴급생할비 지원사업이 집수되었습니다 다시한번 확인 부탁드립니다" 16일 안랩은 최근 정부・지자체의 긴급재난 지원금 지원 사업을 사칭해 사용자 개인정보 탈취를 노리는 스미싱 유포 사례를 발견, 사용자의 주의를 당부했다. 스미싱은 문자메시지(SMS)와 피싱(Phishing)의 합성어로, 악성 혹은 피싱 URL이 포함된 휴대폰 문자를 전송해 사용자의 금융·개인정보를 탈취하는 수법을 뜻한다. 공격자는 "긴급생할비(’긴급생활비’의 오타) 지원사업이 집수(‘접수’의 오타)되었습니다 다시한번 확인 부탁드립니다. http://******.***(피싱 URL)" 등 긴급 재난 지원금 관련 내용을 사칭해 문자메시지를 발송했다. 사용자가 무심코 스미싱 문자메시지 내 URL을 실행하면 휴대폰 본인인증을 위장한 피싱 사이트가 나타난다. 만약 사용자가 속아 해당 피싱 페이지에 개인정보 입력 후 ‘인증번호 요청’ 버튼을 누르면 입력한 개인정보(이름, 성별, 생년월일, 휴대폰 번호 등)가 즉시 공격자에게 모두 전송된다....

긴급재난지원금

‘긴급재난지원금’ 노린 스미싱 설친다…가짜 사이트로 개인정보 탈취

코로나19 위기 극복을 위한 긴급재난지원금 신청이 지난 11일부터 시작되면서 이를 노린 스미싱(문자메시지 링크를 통한 해킹 수법) 공격이 등장해 주의가 요구되고 있다. 보안업체 이스트시큐리티는 정부의 긴급재난지원금을 노린 스미싱 공격이 확인됐다고 12일 밝혔다. 이번에 발견된 스미싱은 11일 오후부터 유포됐으며, 내용은 택배 사칭이다. 해당 스미싱 문자에는 '주소가 불분명해 배달이 불가능하다'는 내용이 적혀있으며, 문자에 첨부된 인터넷 주소를 누르면 공격자가 미리 제작해둔 가짜 '정부 긴급재난지원금 신청' 사이트로 이동된다. 만약 사용자가 가짜 긴급재난지원금 신청 사이트에 들어가 자신의 개인정보를 입력 후 인증번호 요청 버튼을 클릭하면, 입력된 개인정보는 고스란히 공격자에게 넘어가게 된다. 이번 공격의 특이점은 재난지원금 신청 유도가 아닌 '택배 사칭' 문자 메시지(SMS)를 발송했다는 것이다. 과거 스미싱으로 이용하던...

AWS

금감원, 스미싱 판별하는 AI 알고리즘 개발

금융감독원이 휴대폰으로 수신되는 문자 메시지가 스미싱인지 알 수 있는 인공지능(AI) 알고리즘을 개발했다고 11월20일 밝혔다. 금융감독원은 KB국민은행 및 아마존웹서비스(AWS)는 협업팀을 구성하고 약 8개월에 걸친 공동 연구와 파일럿 테스트를 거쳐 스미싱 방지 AI 알고리즘 개발했다. 금융사기 문자 메시지에 사용된 발신자 전화번호와 실제 금융회사 콜센터나 영업점 전화번호 비교해 스미싱을 판별하는 등 발전하는 금융사기 대응에 나섰다. 금융감독원 측은 "최근 전자 금융사기는 ‘금융기관 사칭 저금리 대출 안내’ 등 소비자를 현혹하는 문자 메시지를 대량 발송해 관심을 보이는 소비자에게 선입금을 요구하는 방식의 스미싱 피해 사례가 급증했다"라며 "AI가 휴대폰 문자 메시지를 분석하여 스미싱 여부를 판별함으로써 소비자가 스미싱에 현혹돼 발생하는 금융 사기 시도가 사전 차단될 것으로 기대한다"라고 밝혔다. 이번에 개발한...

다중인증

연말연시 스마트폰 '피싱' 공격 피하는 8가지 방법

연말연시, 연락이 쏟아지는 시기다. 반가운 연락도 많지만 기억나지 않는 이들에게서 오는 연락도 받게 된다. 이때 사이버 범죄자들의 ‘피싱’ 공격을 특히 주의해야 한다. 보안 기업 팔로알토네트웍스가 연말연시 피싱 공격으로부터 컴퓨터와 스마트폰을 안전하게 보호할 수 있는 팁 8가지를 소개했다. 알고는 있었지만 평소에 무심코 놓치던 것들이다. 피싱에 대해서는 '[IT용어사전] 피싱, 스피어피싱, 악성코드'에 자세한 설명이 나와있다. 1. 클릭하기 전에 메일주소를 확인하라 피싱은 ‘사기행위’다. 속이려고 작심한 사람을 피하기는 어렵다. 피싱 이메일은 특히 제목에서 눈길을 끄는 경우가 많다. 발송자의 주소를 반드시 살펴봐야 한다. 해당 이메일이 진짜인지 확인한 뒤 링크를 클릭하도록 하자. 대개 주소를 위조하기가 가장 어렵다고 한다. 2. 가능한 모든 곳에서 다중 인증(MFA) 거치도록 해커들이 말하길,...

KISA

후후-KISA 맞손, “스팸 뿌리 뽑자”

스팸 차단 서비스 ‘후후’가 한국인터넷진흥원(KISA)과 손을 잡았다. 1월4일 후후를 서비스 중인 KTCS는 한국인터넷진흥원과 협력해 스팸 데이터베이스(DB)를 강화했다고 밝혔다. KTCS는 후후가 갖고 있던 기존 스팸 DB에 한국인터넷진흥원의 DB를 더해 더 촘촘한 스팸 차단 서비스를 할 예정이다. KTCS와 한국인터넷진흥원의 DB 협력으로 후후의 스팸 DB는 기존과 비교해 약 10% 정도 더 많아졌다. 후후의 기존 DB와 한국인터넷진흥원 DB의 중복 데이터를 제외한 결과다. 후후의 자체 스팸 DB는 약 50만건 수준이다. 한국인터넷진흥원 DB의 보강으로 총 55만건 이상의 DB를 확보하게 된 셈이다. 한국인터넷진흥원이 갖고 있던 DB를 후후를 통해 실시간으로 활용할 수 있게 됐다는 점도 좋은 점이다. 한국인터넷진흥원이 가진 DB는 원래 한국인터넷진흥원이 지난 2011년부터 직접 서비스하던 ‘폰키퍼’와 연계해...

길벗

(-.-)a 세월호 문자 차단? 원인은 스팸 필터링

‘흥신소’는 돈을 받고 남의 뒤를 밟는 일을 주로 한다고 합니다. ‘블로터 흥신소’는 독자 여러분의 질문을 받고, 궁금한 점을 대신 알아봐 드리겠습니다. IT에 관한 질문, 아낌없이 던져주세요. 블로터 흥신소는 공짜입니다. e메일(sideway@bloter.net), 페이스북 (http://www.facebook.com/Bloter.net), 트위터 (@bloter_news) 모두 열려있습니다. "세월호 문자메시지가 차단 당한다는데, 진짜인가요?” - 손지원 고려대학교 법학전문대학원 공익법률상담소 변호사 두 달 만에 받은 흥신소 제보입니다. 열린 인터넷을 지키려고 열심이신 손지원 변호사가 저를 페이스북 게시물에 태그 걸고 “알아봐 달라”라고 요청하셨습니다. 그 게시물을 올린 분은 세월호 관련 문구가 포함된 문자메시지를 보낼 수 없다고 호소하셨습니다. 사연은 이렇습니다. 한 커뮤니티에서 회원에게 전체 문자로 공지사항을 알리려 했는데 매번 전송이 실패하더랍니다. 왜 그런지 문자메시지 발송업체 쪽에 물어보니 세월호 관련 문구가 포함돼 통신사에서 차단조치했다고 하더랍니다. 글쓴이는 “뭔 문자 하나도 못 보내게 차단을 한다”라며 “황당”하고 “손이 다 떨린다”라고 심정을 밝혔습니다. 손지원 변호사님은 페이스북에 돌아다니는 이 이야기가 사실이냐고 제게 확인해달라고 말씀하신 거고요. 독자님께 충성하는 <블로터>답게 바로 문자 발송업체에 확인을 요청했습니다. 문자 발송업체는 문자...

apt

[IT용어사전] 피싱, 스피어피싱, 악성코드

IT기사, 너무 어려운가요? 핀테크, O2O, SaaS… 도대체 무슨 말인지 모르시겠다고요? <블로터>가 설명해드리겠습니다. IT기사 읽다가 도저히 이해가 안 되는 기사가 있다면 <블로터>에 제보해주세요. 기자가 직접 읽고 풀어서 설명해드리겠습니다. 여기(nuribit@bloter.net)로 기사 웹주소(URL)와 질문을 함께 보내주세요. 보안사고가 잇따라 터지는 요즘입니다. 기사를 읽긴 하는데 너무 어렵습니다. 스피어피싱, APT, 멀웨어… 알아듣기 힘든 용어를 한두 문장으로 설명하긴 하는데, 읽어도 도저히 무슨 뜻인지 모르겠습니다. 지난 2월26일 SK가 보안 담당기자를 서울 중구 SK선린빌딩으로 불러모아 현안 설명회를 열었습니다. 이 자리에서 김용철 SK인포섹 관제솔루션사업팀 팀장은 헷갈리기 쉬운 각종 해킹 용어를 일일히 짚어가며 설명했습니다. 저도 그동안 개념을 섞어 쓰기도 했더군요. 이날 들었던 이야기를 재가공해 독자님께 공유합니다. 해커가 무한상사를 노린다면 시나리오를 써봅니다. ‘무한상사'에서 기밀정보를 빼돌리고 싶은 악성 해커가 있다고...

보안

스미싱 방지 원칙, ‘문자메시지 링크 안 누르기’

설 연휴를 즈음해서 어른들을 만나니 노파심에 ‘이상한 문자메시지에 반응하지 말라’고 말씀하십니다. 전화로 개인정보, 금융정보를 빼내는 ‘보이스피싱’, 스마트폰에 악성코드를 심어 모든 정보를 훔치고 기기를 원격으로 제어할 수 있는 ‘스미싱’은 이제 늘 경계해야 하는 대상입니다. 그 기법은 아주 다양하긴 있지만 결과적으로 스미싱의 방법은 크게 두 가지에서 벗어나지 않습니다. 첫 번째는 가짜 페이지를 통해 이름과 전화번호, 주민등록번호를 비롯한 특정 정보를 수집하는 것, 다른 하나는 악성코드가 깔린 가짜 앱을 스마트폰에 심었다가 스마트폰에 담긴 모든 정보를 빼가는 방식입니다. 인터넷진흥원, 통신사, 보안업체 등 관련 업계는 늘 피싱에 대해 경고합니다. 링크를 누르지 말라, 수상한 앱을 설치하지 말라는 겁니다. 많은 분들이 오해하고 계시는 부분이 ‘문자메시지를 받기만 해도 스마트폰이...

sms

한가위에 올라탄 스미싱 문자, 이렇게 대처하자

“풍성한 한가위 되세요." 추석이 코앞으로 다가왔다. 명절 인사를 많이 주고받는다. 인사 메시지 속 링크는 함부로 누르지 말자. 스마트폰에 악성코드를 몰래 심는 스미싱 문자(낚시 문자)일지도 모른다. 이스트소프트는 “풍성한 한가위 되세요”라는 인사 메시지 속에 악성코드를 숨긴 추석 스미싱을 발견했다고 지난 9월1일 경고했다. 김준섭 이스트소프트 보안소프트웨어사업본부장은 “추석을 앞두고 명절 관련 스미싱이 기승을 부릴 것으로 예상돼 사용자의 각별한 주의가 필요하다”라고 말했다. 안랩 역시 “추석 선물과 관련된 ‘배송 지연’ 메시지나 택배회사를 구체적으로 언급한 스미싱 문자가 늘어날 것으로 보인다”라며 사용자에게 주의를 당부했다. 이스트소프트와 안랩은 9월4일 추석 연휴 스미싱 피해를 경고하는 보도자료를 냈다. 두 회사가 알려준 스미싱 피해 예방법과 대처법을 살펴보자. 아래 설명은 안드로이드폰을 기준으로 한다. 1....

스미싱

스미싱 문자에 낚여봤어요, 일부러

“딩동~” 7월 10일 오후 5시, 평소처럼 인터넷 뉴스를 살펴보고 있는데 문자메시지 한 통이 도착했다. 내가 인터넷상에서 악플로 명예훼손 및 협박죄로 진정서가 접수됐으니 확인해 달라는 내용이었다. 문자 메시지 내용은 한눈에 봐도 요즘 유행하는 ‘스미싱’의 일종으로 보였다. 경찰이 행정부 소속이긴 하지만, ‘서울정부’라는 명의로 서류를 발송하지는 않는다. 진정서가 접수됐다 해도 참고인으로 출석하라는 출석요구서가 발송하는 게 우선이지, 피진정인에게 그것도 문자메시지로 진정서를 보여줄 리 없다. 모바일 앱 개발자인 나로선 이러한 스미싱 앱을 분석해보고 싶은 욕구가 샘솟았다. 한 번 스미싱을 시도하려는 자(이하 ‘녀석’이라 한다)가 어떤 수법을 사용하는지, 사용자들이 일명 ‘낚이는’ 이유도 알고 싶었다. ‘녀석’이 보낸 문자메세지는 ‘[서울정부]시민수사 인터넷 악플 명예훼손,협박죄로(진정서)확인 http://bit.do/xxx' 형식으로 돼 있었다. 이 메시지를...