테크레시피

“SMS 피싱, 너무 쉽게 가능하다”

SMS를 이용하면 너무 쉽게 피싱을 할 수 있다고는 경고가 나왔다. 네트워크 장비 제조사인 시스코 엔지니어인 리카르도 베자라노(Ricard Bejarano)가 구체적인 예로 밝힌 SMS 2통을 보면 둘다 페덱스 배송 알림처럼 보인다. 하지만 실제로는 위는 진짜, 아래는 가짜다. 확실하게 알기 어렵지만 URL이 진짜(https://www.fedex.com/en/delivery~~)와 가짜(https://fedex.delivery/~~)가 다르다. fedex.delivery는 글 작성 당시 시점에선 구입 가능한 도메인이다.

문제는 진짜와 가짜 모두 페덱스로부터 온 SMS로 다뤄져 버린다는 것. SMS에는 송신자 ID란이 있어 여기가 동일하게 되어 있는 SMS는 동일 발신자로부터 온 SMS로 정리된다. 하지만 송신자 ID는 어디까지나 송신자가 설정하는 것으로 본인 확인이 없다.

또 메시지 자체에는 발신자 전화번호가 포함되지 않아 SMS를 받은 단말은 실제 메시지와 가짜 메시지를 구별할 수 없다.

대책으로는 먼저 송신자 ID를 휴대전화 사업자와 연결하는 걸 들 수 있다. 이는 이미 일부 국가에서 이뤄지고 있다. 다음으로는 미확인 송신자 ID는 단말 측이 경고를 해주는 것이다. 마지막은 기업이 SMS를 통해 URL을 보내는 걸 중지하는 것이라는 지적이다. 관련 내용은 이곳에서 확인할 수 있다.

추천기사