2007년 아이폰이 처음 세상에 등장 했을 때 세계는 열광했고 한국은 시큰둥했다. 스마트폰이라는 개념 조차 없었다. 아이팟 사용자라면 스마트폰을 받아들이는데는 큰 어려움이 없겠지만 우리나라에서는 아이팟 사용자가 그리 많지 않았다. 또 정부에서는 무슨 이유에선지 아이폰 수입 허가를 내주는데 인색했다. 아이폰에 문제가 있어 수입을 금지 한 것이 아니라 정부에서 전파인증을 해주지 않아 수입 할 수 없던 것이고 3년이나 늦게 국내에 본격적으로 들여오게 됐다. 국내 얼리어답터는 미국에서 직접 구입해 개인이 전파인증을 해서 사용하기도 했을만큼 아이폰을 접하기까지는 우여곡절이 많았다.
이유는 알 수 없지만 아이폰 수입이 지연되는 동안 국내에서는 부랴부랴 스마트폰 개발에 착수했고 아이폰 정식 수입 시기에 맞춰 국내 기업도 스마트폰을 출시하게 됐다. 국내 기업의 공격적인 마케팅에도 불구하고 초반에는 아이폰 열풍이 쉽게 사그라들지 않았다. 아이폰이 세계적으로 성공할 수 있었던 이유는 애플이 정식 제품을 출시하기 전부터 전세계 개발자들에게 아이폰 앱을 개발 할 수 있도록 환경을 지원해 줬고 개발자들은 아이폰 앱을 통해 새로운 수익을 창출 할 수 있었다. 개발자들이 아이폰 앱 개발에 뛰어들면서 애플은 안드로이드와는 비교도 안 될 만큼의 방대한 양의 앱을 소비자에게 제공할 수 있었다. 뒤늦게 국내 통신사들도 전용 앱스토어를 운영했지만 개발자의 개발 환경보다는 기계를 판매하는데 주력했기 때문에 국내 개발자들도 아이폰 앱 개발로 돌아서게 됐다. 소비자가 원하는 기능을 제공할 수 있는 앱이 없다보니 스마트폰 사용자들은 의례 아이폰을 찾을 수 밖에 없었다.
우리나라 대기업은 국내에서는 영업면에서 애플보다는 월등히 유리하다. 학습지 교사로 있는 친구가 어느날 멀쩡한 스마트폰을 바꿨다. 아직 약정이 남아 있는데 왜 그러냐 하니 회사에서 교사용 앱이 나왔는데 갤럭시에서만 작동이 되기 때문에 어쩔 수 없었단다. 그 얘기를 들으니 국내 기업들이 어떤식으로 영업을 하고 있는지 감이 왔다. 우리나라라면 충분히 상상할 수 있고 있을법한 영업 방식이다. 기업과 관공서, 공기업만 타깃으로 해도 아이폰의 점유율을 빼앗는 건 시간문제였다. 실제로 우리가 상상하는 대기업의 마케팅 방식은 성공했고 아이폰은 국내 스마트폰 시장에서 힘을 잃어갔다.
국내 아이폰 점유율 7.4%, 안드로이드 91.7%, 기타 0.7% (2013 국정감사)
국내에서 아이폰은 희소성으로 가치를 인정 받아야 할만큼 점유율이 뚝 떨어졌다. 열에 아홉은 안드로이드폰을 사용하고 있다는 의미가 된다. 이런 점유율 때문에 아이폰 사용자들이 스미싱에 안전하다고 볼 수 있다. 스미싱 사기꾼들 입장에서 보면 스미싱을 위한 앱 개발이나 개인정보 입수, 개발자 확보에 필요한 인건비 등 적지 않은 비용이 들어가게 된다. 만약 내가 사기꾼이라면 안드로이드와 아이폰 중 어느 운영체제를 타깃으로 앱을 개발 할 것인가 생각해보자. 당연히 안드로이드용 악성 코드를 개발하는 것이 비용을 절약 할 수 있을 것이다. 그들이 입수한 개인정보에는 개인이 아이폰을 사용하는지 안드로이드를 사용하는지 알 수 없다. 그래서 점유율이 높은 안드로이드 사용자를 타겟으로 해야 성공 확율도 높아지니 사기꾼들에게 아이폰 사용자는 관심 밖이 된다.
우리가 이런류의 스마트폰 스미싱 사기에 대한 뉴스를 접하게 되면 어김없이 달리는 댓글들이 있다. 이 베스트 댓글을 보면서 문득 그런 생각이 들었다. 아이폰은 절대 안전한가? 사람들이 아이폰을 절대 안전하다 믿고 있는 이유는 iOS의 소스가 오픈이 되지 않았다는 이유다. 그런 믿음이 맹신이 될까 사실 우려스런 부분이기도 하다. 현재로서는 해커들이 아이폰 사용자를 위한 악성코드를 만들지 않기 때문에 아이폰이 안드로이드보다는 현저히 안전한 게 사실이다.
스마트폰에서 이루어지는 스미싱은 PC에서의 피싱과는 다르게 소액결제가 많다. 통신사에서는 신용카드처럼 휴대전화로 소액 결제 서비스를 제공하고 있다. 과거에는 월3만원이 한도였는데 요즘은 그보다 훨씬 금액이 커진 듯 하다. 사기꾼들은 이런 소액결제 서비스를 악용하는 것이다. 휴대전화 결제를 제공하는 사이트나 쇼핑몰에서 물건을 사고 결제를 시도하면 본인 전화가 맞는지 인증번호를 확인해야 한다. 사기꾼들에게는 당연히 해당 번호의 전화기가 없기 때문에 인증번호 문자를 받을 수 없다. 그래서 스미싱을 위한 문자를 전화기 주인에게 보내고 문자를 받은 사람이 앱 설치 경로가 숨겨진 링크를 터치하는 순간 앱이 설치되고 인증번호 문자를 사기꾼에게 전송하도록 하는 것이다.
2. 인터넷 쇼핑몰 등에서는 결제를 위해 개인정보를 확인하고 휴대전화 본인 인증번호를 요구한다.
3. 사기꾼은 전화번호 주인에게 악성 코드가 담긴 앱을 설치 할 수 있는 주소를 숨겨 스미싱 문자를 보낸다.
4. 전화번호 주인이 링크 된 주소를 클릭(터치)하면 악성 코드 앱이 위치한 주소로 이동하면서 스마트폰에 앱이 설치 된다.
5. 설치가 확인되면 사기꾼은 아이템이나 현물을 구매한 사이트에 인증번호 전송을 요청한다.
6. 인증번호는 전화번호 주인에게 전송되고 설치 된 악성코드 앱은 전송받은 인증번호를 사기꾼에 전송하게 된다. 이때 악성코드 앱은 전송받은 인증번호를 전화기 주인 몰래 사기꾼에게 전송하지만 알림음이나 문자 아이콘이 뜨지 않게 하고 문자는 삭제 된 상태기 때문에 어떤 일이 내 스마트폰에서 이루어지고 있었는지 알지 못한다.
7. 인증번호를 받은 사기꾼은 인증을 완료하고 소액 결제를 하게 된다.
스미싱 사기의 순서는 대략 이렇게 이루어진다. 악성코드 앱이 하는 일은 사이트로부터 전송받은 인증번호를 주인 모르게 사이꾼들에게 흔적 없이 전송해 주는 일이다. 이런 앱은 iOS가 소스가 공개이든 비공개든 상관 없이 만들 수 있다. 그러니 아이폰 사용자라고 스미싱에 절대 안전하다고 맹신하는 건 위험하다. 그런 맹신이 사기꾼에겐 더 좋은 타겟이 될 수 있다. 아이폰이든 안드로이드든 점유율이 높아지는 만큼 스미싱 타겟이 될 확율도 높아진다. 아이폰 사용자도 긴장을 늦추지 않는 것이 좋다. 만약 아이폰 사용자는 의심 없이 링크 주소를 클릭한다는 소문이 사기꾼들 귀에 들어간다면 열에 하나가 성공하는 안드로이드가 아닌 한번에 하나 성공하는 아이폰 사용자가 타겟이 되지 않으라는 법은 없다.
얼마전 비슷한 포스팅을 한적이 있다. 안드로이드 사용자라면 단말기를 받은 즉시 보안 설정을 하는 것을 잊지 말아야 한다. PC도 블로그나 검증되지 않은 웹사이트에서 프로그램을 내려받기 해 설치하면 분명히 악성코드와 애드웨어가 함께 설치 되는 것처럼 스마트폰도 검증되지 않은 경로를 통해 설치되는 앱들은 악성코드를 담고 있다. 이 환경 설정은 구글의 플레이 스토어를 통하지 않은 앱은 설치 할 수 없도록 하는 것이기 때문에 스미싱 문자의 악성코드 앱 경로가 숨겨진 인터넷 주소를 클릭해도 앱이 설치 되지 않는다. 본인이 개발자(프로그래머)가 아니다 싶으면 이 설정은 반드시 확인하는 것이 좋다.
또 각 통신사마다 소액결제 한도를 조절 할 수 있다. 전혀 사용하지 않는 사람은 소액결제 제한을 해 두면 이런 스미싱 사고를 원천봉쇄 할 수 있다. 무엇보다 의심되는 문자로 오는 인터넷 주소나 아이피는 클릭하지 말아야 한다. 클릭하고 싶어서 도저히 참을 수 없다면 5분만 기다렸다 클릭하자. 이런 인증번호는 보통 2, 3분 마다 갱신 되도록 프로그래밍하는데 최소한 5분이 지나면 사기꾼이 전송 받게 되는 인증번호는 소용 없게 된다. 하지만 이건 사이트(쇼핑몰)에서 그런 기능을 제공해 줘야 하는 것이기 때문에 절대적이지는 않지만 문자를 받자마자 주소를 클릭하는 건 아무래도 위험 소지가 많다. 그리고 결제 서비스를 제공하는 PG사들은 인증번호 사용 기한을 두기 때문에 최소한 5분은 기다려 보는 인내력이 내 돈을 지킬 수 있다.
'IT 이것저것 > 유용한 정보' 카테고리의 다른 글
| 정보유출 피해 예방-휴대전화, 인터넷, 유선전화 가입제한 설정하기 (0) | 2014.01.18 |
|---|---|
| 검색 후 클릭하면 새창으로 열리는 광고, 난 이렇게 해결 봤다. (0) | 2013.11.04 |
| 안드로이드와 애플 iOS, 어떤 것이 더 보안에 취약할까? (0) | 2013.09.18 |