휴대전화 사업자를 통해 통화가 이뤄졌을 때 착신처 사업자는 발신원 사업자에게 접속료를 청구한다. 이 구조를 악용하는 행위를 트래픽 펌핑(Traffic Pumping)이라고 하며 음성 통화 무제한 서비스가 부정하게 이용되는 경우가 많다. 그런데 새롭게 SMS 트래픽 펌핑 사기라는 새로운 수법이 나온다는 게 보고됐다.
트래픽 펌핑 기초에 있는 건 통신사업자 사이에서 교환되는 연결 요금이다. 전화를 받는 쪽은 무료로 통화하는 것처럼 보이지만 실제로는 비용이 발생하고 통신사업자는 발신자로부터 회수를 한다. 통신사업자를 통한 통화의 경우 착신 측 사업자는 발신 측 사업자에게 접속료를 청구한다.
트래픽 펌핑 절차는 먼저 악덕 그룹이 음성 통화 무제한 서비스를 계약한 전화번호를 여러 개 준비한다. 그런 다음 이 전화번호를 이용해 다른 통신사업자가 관리하는 전화번호에 대량 통화를 실시한다. 이 대 수동으로 전화를 하는 게 아니라 봇 등을 이용한다고 한다.
통화를 대량으로 받은 통신사업자는 발신 측 통신사업자로부터 시간에 따른 다액 접속료를 받을 수 있으며 일부를 인센티브로 악덕 그룹에 제공한다. 다시 말해 악덕 그룹과 착신 측 통신사업자가 결탁한 것으로 양자에 접속료가 들어가는 것이다. 또 이 결탁에 의해 원래 불법 행위인 접속료 증가 청구에 관한 수사나 적발로부터 몸을 지키는 게 가능하게 된다.
언뜻 보면 일반 사용자에게는 아무런 피해나 영향도 없는 것처럼 보이지만 트래픽 펌핑이 증가하면 업무나 수익에 지장을 초래할 우려가 있어 결과적으로 음성 통화 무제한 서비스 가격 인상 등을 착수할 가능성이 지적됐다.
휴대전화를 훔친 걸 계기로 자신의 휴대전화가 트래픽 펌핑에 악용됐다는 한 사용자는 SIM 카드가 잠기기까지 10시간 동안 도둑은 알제리 전화번호에 대해 100시간분 상당한 고액 음성 통화를 실시해 합계 1만 달러 피해가 발생했다고 밝히고 있다.
최근에는 음성 통화를 이용한 트래픽 펌핑 뿐 아니라 SMS 트래픽 펌핑 사기라는 새로운 사기 기법도 보고됐다. SMS 트래픽 펌핑 사기에 프리미엄 가격이 포함된 전화번호가 사용된다. 이는 통화 중 발신자에게 할증 요금을 청구하는 전화번호다. 이 번호 대부분은 지원 채팅이나 성인 사이트에서 사용된다. 발신자 측이 추가로 지불한 통화료는 통신사업자 뿐 아니라 지원 채팅이나 성인 사이트 운영 사업자에게도 지급된다. 사기 그룹은 이 전화번호를 자신의 전화번호로 설정한 뒤 SMS를 전송하는 서비스를 검색, 이 때 이중 요소 인증에 SMS를 사용하는 기업을 표적으로 삼는다.
사기 그룹이 이중 인증을 수행하면 인터넷 서비스는 대상 전화번호로 SMS를 보낸다. 프리미엄 가격으로 할인된 SMS 전송 요금은 인터넷 서비스에 청구되며 돈은 사기 그룹에 지불된다. 이 메커니즘을 악용해 업자는 봇 계정을 만들고 대량으로 SMS를 요청하고 SMS 전송료를 인터넷 서비스에서 이용한다.
한 번이라도 SMS 트래픽 펌핑 사기에 성공하면 사기 그룹은 사용하는 전화번호를 정기적으로 바꿔가며 SMS 요청을 반복한다. 또 다른 표적에서 같은 수법을 이용해 사기 그룹이 소지한 목록 내 다른 표적에 대한 공격을 시작한다.
일론 머스크는 지난 2월 트위터가 연간 6,000만 달러 SMS 트래픽 펌핑 사기 피해를 받고 있다고 보고하기도 했다. SMS 트래픽 펌핑 사기는 사기 그룹이 사용하는 통신사업자가 일련의 사기에 가담하고 인센티브 분배 계약을 맺고 있거나 통신사업자가 사기 그룹에 의해 의도하지 않게 악용되는 2가지 시나리오가 있을 수 있다.
SMS 트래픽 펌핑 사기를 방지하는 수단으로 트윌로는 부정 방지 가드를 활성홯거나 의도하지 않은 국가로부터의 SMS 수신을 무효화하고 초당 1통 이상 SMS를 수신하지 않는 등 속도 제한을 도입하는 걸 추천하고 있다. 또 캡차 등을 도입해 봇에 의한 트래픽 검출과 방지를 도모하고 고속 대량 트래픽을 방지하기 위해 검증 재시도 요구 사이에 지연을 두고 캐리어 룩업을 사용해 SMS를 받기 전에 상대방 전화번호를 조사하고 원타임 암호 발행수를 감시해 규정 횟수를 넘어가면 경고하는 등 대책이 있을 수 있다. 관련 내용은 이곳에서 확인할 수 있다.