안랩(대표 권치중)은 최근 스마트폰 사용자 사이에서 ‘전화를 걸거나 받기만 해도 금전 결제가 된다’는 류의 가짜 메시지 ‘Hoax가 ‘신종 스미싱’으로 둔갑해 전파되고 있다며 스마트폰 사용자의 주의를 당부했다.
Hoax는 존재하지 않는 위협에 대한 과도한 경고로 사람의 불안 심리를 자극하는 가짜 메시지이다. 스미싱(보충자료 2 참조)과 Hoax의 가장 큰 차이점은 악성코드 설치 여부이다. 스미싱의 경우, 문자메시지/SNS 메시지 등에 URL을 포함시키고, 이 URL을 실행을 유도해 악성코드를 설치 시도한다.
하지만 Hoax의 경우, 발생하지 않은 위협에 대해 불안감을 조성하는 가짜 경고를 보내는 것이 대부분이며 악성코드 설치를 유도하지 않는다. 따라서, 악성 URL이 없고, 스미싱에서 발생 가능한 금전 피해 등은 없이 심리적인 불안감만 조성하는 경우가 대부분이다.
전파형태도 스미싱은 공격자가 불특정 다수를 대상으로 유포하거나 감염된 스마트폰에서 사용자 모르게 자동 발신되는 반면, Hoax의 경우에는 사용자가 스스로 이를 전파시킨다는 차이도 있다. 하지만 두 경우 모두 믿을만한 기관이나 인물, 서비스를 사칭한다는 점에서는 유사한 점도 있다.
최근 스마트폰 문자 메시지나 메시징 서비스로 퍼지는 ‘Hoax’ 메시지의 주 내용은 ▲‘주차 관련 욕설 문자를 받고 해당 번호로 전화를 걸기만 하면 125만원이 결제된다’ ▲‘배우자 관련 욕설 문자를 받고 전화를 걸면 결제가 된다’ ▲‘특정 번호로 온 전화를 받으면 125만원이 결제된다’ ▲‘설문 관련 전화를 받고 번호를 누르면 바로 소액이 결제된다’는 등의 내용이다.
안랩 관계자는 “Hoax는 1980년대부터 PC 환경에서 먼저 시작되었으며, 그 내용도 ‘특정 바이러스에 감염되면 PC가 불탄다’나 유명 보안기업을 사칭해 ‘치료불능 바이러스가 돌고 있으니 친구에게 알리라’는 등 내용도 다양하다”고 말했다.
Hoax로 인한 피해를 줄이기 위해서는 위협을 조심하라는 류의 메시지를 받았을 때는 주변인에 무조건 전파하기 전에, 메시지 내용의 출처를 검색 등으로 확인하거나 KISA(인터넷진흥원) 등 관련 기관에 사실여부를 문의하는 것이 좋다.
박태환 안랩 ASEC대응팀장은 “Hoax는 장난으로 시작해 해프닝으로 끝나는 경우도 있지만, 사회 혼란을 노리고 의도적으로 만들 수도 있다” 며, “주변인을 걱정하는 마음을 이용해 보이지 않는 공포를 만든다는 점에서 실체가 있는 악성코드만큼 위험할 수도 있다”고 말했다.
김미나기자 mina@