스미싱(smishing) 사기를 막는 방법

연일 언론에서 안드로이드 스미싱(smishing) 사기가 보도되고 있다. 그러나 언론에서는 ‘이러이러한 문자가 떠돌고 있으니 주의하라’ 라는 경고만 나오고 있지 본질적인 문제를 건드리지 않고 있다. 지난번에 스마트폰 보안 문제, 정확히는 안드로이드 보안 문제를 뭉뚱그려 얘기하고 있다고 한탄했는데, 이 문제의 십중팔구는 악성 어플리케이션이 링크된 주소를 탭하면 악성 어플리케이션이 다운로드되고, 그것을 설치하면서 발생하는데(구글 플레이 스토어에서 일어난 케이스는 아직 언론에서 화제가 된 것을 보지 않았다), 본질적인 문제의 근원은 구글 플레이(통칭 마켓, 이후 마켓으로 부른다) 또는 통신사 스토어 이외에서 설치되는 어플리케이션을 설치 할 수 있도록 사용자가 안드로이드의 기본 설정을 변경했기 때문이다. 문제는 이것을 몇몇 통신사나 은행 등 금융사가 권장 혹은 강제했다는데 있다. 기본적으로 안드로이드는 마켓이나 통신사 스토어 외에서 앱(.apk 확장자로 되어 있다)을 다운로드 할 수 없게 되어 있다. 이것을 ‘알 수 없는 출처’ 옵션 거부 기능이다. 그런데 내가 사용을 해본 결과 몇몇 어플리케이션(지금은 변했는지 모르지만 몇몇 통신사의 지도 프로그램이나 시중은행의 백신 프로그램)이 업데이트를 위해서 끄지 않으면 원활하게 작동하지 않게 되어 있고, 또 몇몇 사용자는 불법 앱 사용을 위해서(apk 파일을 마켓 이외의 장소에서 다운로드해서 사용하기 위해서) 이 기능을 끄고 사용하는 경우가 있다. 그러다보니 꽤 많은 사용자들이 이 옵션을 끄고 사용한다. 이 옵션을 끄게 되면 안드로이드는 반드시 경고를 내보내게 되는데 그냥 무시하도록 안내하고 있다.

그리고 이 옵션을 꺼놓고 있으면 절대로 스미싱 사고는 일어날 수 없다. apk 앱이 깔리지 않기 때문이다. 그런데 이 옵션을 켜놓으면 이런 참사가 나타난다. 사진을 보자.

Android Unknown Source screen (default)안드로이드 설정에서 보안으로 들어가면 기본적으로는 [알 수 없는 출처]가 체크 해제되어 있다.

Android App Install Denied Because Unknown Sources denied이 상태에서 웹브라우저에서 앱을 설치하려고 들면 거절 당한다.

Unknown Source on confirm on Android옵션을 해제해 보자, 경고가 나온다. 분명히 위험하다고 경고한다. 경고를 무시하자.

Android App Install Privilege Confirm이렇게 설치 화면이 나온다. 여기서 설치를 누르면 당신은 당한다. 이 앱은 안전한 앱이니 상관없지만 만약 악성 앱일 경우 게임은 끝이다. 물론 여기서라도 당신이 취소를 누른다면 그나마 가망은 있다. 구별할 수 있는 방법은 애플리케이션이 요구하는 권한 중에 요금이 부과되는 서비스, 내 메시지, 통화 등의 권한을 요구하는지 살펴보는 것이다. 이 권한들은 당신 몰래 메시지를 보내고 받을 수 있다. 그외에 쓰잘때기 없는 권한을 요구하면 백프로 사기다. 마켓에서 다운로드 하는 앱 또한 마찬가지이다. 생각해보라 무료 쿠폰앱이 메시지를 보내거나 통화를 할 필요는 전혀 없다. 마켓에서 다운로드를 하던, apk 파일을 설치하던, 반드시 권한을 확인하고 필요 없는 권한을 요구한다면? 합당한 설명이 없다면 다운로드하거나 설치 해서는 안된다. 반드시 거절해야 한다. 

한가지 더, 브라우저로써 Chrome을 기본 브라우저를 사용하는 것을 추천한다. Android Execution File Blocked on Chrome BrowserChrome은 .apk 파일을 받기전에 반드시 경고를 한다. 당신이 경고 메시지에 반사적으로 확인을 누르는 사람이 아니라면 무작정 다운로드 될때까지 시간을 벌 수 있을 것이다.

핵심은 이렇다. 1. 보안에서 알 수 없는 출처 옵션을 꺼라 2. 켜야 하는 상황이 있다면 사용이 끝난 상황이 되면 바로 꺼라. 3. 반드시 권한을 체크하라 4. (사용할 수 있다면) 크롬을 사용하라

정말 안타깝게도 이러한 상식은 언론에서 다루지 않는다. 그저 어떤 메시지가 퍼지고 있는지 어떤 메시지를 클릭하지 말라던지, 심지어는 안드로이드 사기에 아이폰 사진을 덩그러니 붙여넣는 짓을 서슴없이 하고 있다. 아이폰으로는 백날 받아봐야 링크가 눌리지도 않고 어거지로 주소창에 넣어서 눌러도 아무런 소용이 없다. 그래놓고는 변종이 나와서 피해가 늘어나고 있다고 난리다. 이래봐야 소용이 없다. 우리나라 사람들은 인터넷 뱅킹의 ActiveX 탓인지 각종 운영체제의 경고 메시지를 무시하고, 확인하고 해제하는 못된 버릇이 들어버렸다. 그 문제가 안드로이드에서도 재현되고 있다. 정말이지 큰일이 아닐 수가 없다.


Posted

in

by