본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

최근 몇 달 사이 휴대폰 소액결제 사기가 크게 유행하고 있습니다.


전화통화로 피해자를 속여 송금을 유도하는 피싱사기가 일반인들 사이에서도 잘 알려져 더 이상 통하지 않게되자, 사기꾼들이 새로운 사기수법으로 휴대폰 소액결제 시스템을 악용하고 있습니다.


휴대폰 소액결제의 결제한도액은 30만원이기 때문에, 일반적으로 보이스피싱 보다는 피해액이 적습니다.
하지만 피해자의 휴대폰으로 전송되는 인증번호만 알아내면 되기 때문에 여러가지 방법으로 이 인증번호를 알아내 많은 피해자를 발생시키고 있습니다.


대표적인 수법 두 가지를 예로 들면,


 1. 피해자의 스마트폰에 '할인쿠폰' 등의 문자를 보내 악성앱의 설치를 유도하는 방법.
-악성앱 설치 후에는 소액결제 인증 문자가 와도 피해자에게는 보이지 않고 해커에게 전달된다.


 2. 피해자의 휴대폰에 '결제예정 알림' 같은 문자를 보내 가짜 상담원에게 전화를 걸도록 유도하는 방법.
-결제를 취소해준다며 새로 발송된 인증번호를 불러달라고 해 결제인증번호를 알아낸다.


그럼 사기꾼들은 소액결제로 어떤 상품을 살까요? 배달이 필요 없는 온라인게임 아이템, 전자상품권 같은 물품을 구매한 뒤 이를 아이템 거래사이트 등에서 되팔아 현금화 시킨다고 합니다.


그런데 사실, 인증번호만 가지고 소액결제를 성공할 수는 없습니다.
휴대폰으로 전송되는 인증번호가 가장 중요한 비밀번호 역할을 하는 것은 맞지만, 결제정보 창에 주민등록 번호와 이름, 이용중인 통신사 정보도 함께 입력해야 하기 때문입니다



공격자들은 아무에게나 무작위로 피싱공격을 시도해서는 이 모든 정보를 한꺼번에 다 알아내기 어렵기 때문에 이미 유출된 개인정보를 가지고 휴대폰번호, 명의자 이름, 주민등록번호 등을 알고 있는 상태에서 인증번호만을 알아냅니다.


즉, 이미 개인정보가 유출된 사람이 주로 스미싱(문자+피싱)공격의 대상이 되는 것입니다.
개인정보 유출이 얼마나 중요한 문제인지 다시 한번 알려주는 부분입니다.


최근 경찰청 관계자의 발표에 의하면 소액결제 인증번호를 전화로 불러달라고 하는 정상적인 업체는 없다고 하니 전화상으로 인증번호를 불러달라고 하는 경우, 어떤 상황이라도 절대 알려주지 마시기 바랍니다.


또 각종 인증번호를 앱에 직접 입력할 때에도 신뢰할 수 있는 앱인지, 혹시 허위 광고로 인해 설치가 유도된 악성앱은 아닌지 한번 더 주의를 기울여야 하겠습니다.