이 연구는 신종범죄인 스미싱(smishing) 범죄의 수법(Modus Operandi)분석을 시도한 최초의 연구이다. 본 연구를 위한 자료수집방법으로 87건의 '스미싱 사건의견서분석'과 '피해자 사례분석' 그리고 일선경찰서에서 스미싱 범죄담당 경찰공무원 10명을 대상으로 '면접조사'를 실시하였다. 연구조사결과, 스미싱 범죄는 범죄 실행 전 단계와 실행단계로 분류할 수 있으며, 스미싱 범죄 준비 단계에서는 크게 2가지(개인정보 수집, 문자메시지 스크립트 구성)의 수법패턴을 보이는 것으로 확인되었다. 범죄 실행 단계에서는 크게 7가지(스미싱 문자발송 및 악성App 설치, 개인정보유출, 서버를 통한 스미싱 범죄조직에 개인정보 전달, 게임사이트 등에서 개인정보를 이용한 결제시도, 인증번호 가로챔, 가로챈 인증번호로 결제완료, 피해자에게 결제금액 청구)의 수법패턴을 보이는 것으로 확인되었다. 이 연구에서는 이러한 두 단계로 이루어지는 스미싱 범죄의 MO를 범죄스크립트 분석을 통해 구체적으로 파악하였다.
이 연구는 신종범죄인 스미싱(smishing) 범죄의 수법(Modus Operandi)분석을 시도한 최초의 연구이다. 본 연구를 위한 자료수집방법으로 87건의 '스미싱 사건의견서분석'과 '피해자 사례분석' 그리고 일선경찰서에서 스미싱 범죄담당 경찰공무원 10명을 대상으로 '면접조사'를 실시하였다. 연구조사결과, 스미싱 범죄는 범죄 실행 전 단계와 실행단계로 분류할 수 있으며, 스미싱 범죄 준비 단계에서는 크게 2가지(개인정보 수집, 문자메시지 스크립트 구성)의 수법패턴을 보이는 것으로 확인되었다. 범죄 실행 단계에서는 크게 7가지(스미싱 문자발송 및 악성App 설치, 개인정보유출, 서버를 통한 스미싱 범죄조직에 개인정보 전달, 게임사이트 등에서 개인정보를 이용한 결제시도, 인증번호 가로챔, 가로챈 인증번호로 결제완료, 피해자에게 결제금액 청구)의 수법패턴을 보이는 것으로 확인되었다. 이 연구에서는 이러한 두 단계로 이루어지는 스미싱 범죄의 MO를 범죄스크립트 분석을 통해 구체적으로 파악하였다.
The purpose of this study is to analyse Modus Operandi of smishing. For the study, 87 cases of smishing crime reports and smishing experiences of victims were analysed and 10 police officers who investigates smishing crime were interviewed. The results indicated that smishing crime can be divided in...
The purpose of this study is to analyse Modus Operandi of smishing. For the study, 87 cases of smishing crime reports and smishing experiences of victims were analysed and 10 police officers who investigates smishing crime were interviewed. The results indicated that smishing crime can be divided into the preparation stage and the implementation stage. In the preparation stage, two modus operandi patterns, collection of personal information and text message script composition, were identified. In the implementation stage, seven modus operandi patterns were identified: sending smishing text messages and installation of malicious mobile applications, leak personal information, sending personal information to smishing crime organization through online server, payment attempt using collected personal information, intercept authorization code, completion of payment using intercepted authorization code, and payment amount was delivered to victims. Further implications were discussed.
The purpose of this study is to analyse Modus Operandi of smishing. For the study, 87 cases of smishing crime reports and smishing experiences of victims were analysed and 10 police officers who investigates smishing crime were interviewed. The results indicated that smishing crime can be divided into the preparation stage and the implementation stage. In the preparation stage, two modus operandi patterns, collection of personal information and text message script composition, were identified. In the implementation stage, seven modus operandi patterns were identified: sending smishing text messages and installation of malicious mobile applications, leak personal information, sending personal information to smishing crime organization through online server, payment attempt using collected personal information, intercept authorization code, completion of payment using intercepted authorization code, and payment amount was delivered to victims. Further implications were discussed.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
결국 이 연구의 목적은 스미싱 범죄와 관련된 사건의견서와 인터넷의 피해자 사례분석 그리고 일선 경찰공무원 면접조사를 통해 범죄자들이 스미싱 범죄를 저지르기 위해 어떠한 상황적 양태를 보였는지 범죄 스크립트기법을 활용하여 살펴봄으로써 스미싱 범죄과정에서 발생하는 수법을 살펴보는 것에 목적을 두었다.
이번 사건으로 인하여 앞으로 더욱 많은 스미싱 범죄가 발생할 것으로 예상된다. 이에 본 연구에서는 스미싱 범죄가 가지는 상황적 맥락과 수법을 정확히 분석하는 것에 중점을 두었다. 해당범죄를 이해하기 위해서 그 수법을 분석하고 파악하는 것의 중요성을 살펴보면 먼저, 스미싱 범죄의 거래수단으로 이용되고 있는 스마트폰을 활용한 금융거래에 대한 관련 대책을 수립하고 또한 해당기관들 사이의 업무협조 및 정보공유 방안부족 등의 문제해결을 위한 법률적 그리고 제도적 및 기술적 개선을 위해서 무엇보다도 해당 신종 범죄가 가지는 수법과 그 상황적 맥락에 대한 분석이 우선적으로 선행되어야 적절한 예방 및 대응방안 수립이 가능하기 때문이다[11].
가설 설정
상기의 스크립트를 통해 한국 발생하고 있는 스미싱 범죄에서 나타나는 몇 가지 특성들을 확인할 수 있다. 첫째, 국제성 범죄라는 것이다. 본 연구에서 소개된 대부분의 스미싱 범죄조직들은 해외조직과 국내조직으로 구분되어 있었으며, 또한 스미싱 범죄를 실행하는 사람은 조선족, 중국인 유학생, 한국인 등으로 다양하게 구성되어 있었다.
제안 방법
그러므로 본 연구에서는 Beauregard와 그의 동료들의 접근방법에 따라 면접조사 단계별 설문내용을 ‘범행 준비 단계’, ‘범행 실행 단계’의 2단계로 나누어 분석하였다.
사회 및 시국이슈로는 “세월호”, “대선”, “북한관계악화로 인한 예비군 소집”, “재난관련 문자내용” 등이, 일반적인 내용으로는 “도로교통법 위반에 따른 범칙금 및 과태료청구” 등이 존재하였으며, 이를 통해 피해자들이 문자메시지에 첨부된 단축 URL주소를 클릭하도록 유도하고 이를 통해 악성App을 성공적으로 설치하는 것으로 나타났다. 또한, 스마트폰에 구글 등 정상적인 App을 가장한 악성App을 유포함으로서 피해자들이 악성코드 설치 사실을 인식하지 못하도록 하였다.
형식에 기초하여 동일한 조건에서 이루어졌다. 면담조사 진행을 위해 2015년 12월부터 2016년 1월까지 2개월 동안 1회 평균 50분간 진행되었다. 면접조사대상이 10명인 이유는 심층면접 조사에서 수집된 자료를 정리하는 과정에서 8명을 초과하면서 수집된 자료의 중복성이 높아져 심층면접의 추가적인 필요성이 줄어들어 최종 10명으로 하였다.
둘째, 사회정의형의 경우 현 사회 및 시국이슈(세월호, 지방선거, 공직자 부정 문제 등)에 대한 고발 및 정보제공을 목적으로 한 문자 메시지 시나리오들이 존재하였다. 셋째, 보상제공형의 경우 건강보험공단, 국민연금공단, 국세청, 이동통신회사, 여러 특정 회사 등이 있으며 보상제공을 미끼로 첨부된 단축 URL 주소를 클릭하도록 유도하는 수법을 사용하였다.
스미싱 범죄 피의자들의 범행을 분석하기 위해 기소된 피의자들의 구체적인 범죄행동을 기록하는 ‘사건의견서’를 기반으로 분석하였다.
일반적으로 경찰사건의견서와 피해자 사례분석에서는 범인들의 범행과정에서 나타난 행동 및 심리에 대한 구체적인 정보들이 포함되어 있지 않다. 이를 보완하기 위해 일선 경찰서에서 스미싱 범죄를 담당하는 경찰공무원들에 대한 면접조사를 계획하였다. 즉, 사건의견서를 통해 얻을 수 없었던 정보들은 해당사건의 전문가인 경찰공무원 면접조사를 통해 얻는 것이 스미싱 범죄 연구의 목적달성을 위해 타당하다고 판단하였다.
이에 이 연구에서는 경찰서에 보관되어 있는 ‘사건의견서 분석’, 5대 포털 사이트(네이버: naver, 다음: daum, 네이트: nate, 야후: yahoo, 구글: google 등)에 올라와 있는 스미싱 피해자 사례분석, 일선 경찰관 심층면접조사를 활용한 연구방법의 다각화를 시도하였다.
즉, 반 주관적 지표인 ‘사건의견서 분석과 5대 포털사이트의 피해자 사례분석’ 및 ‘주관적 지표인 일선 경찰관 심층면접조사’ 병행을 통한 스미싱 범죄의 수법을 살펴보고 이를 통해 최종적으로 스크립트를 작성하였다.
게다가 암수범죄율이 높기 때문에 관할경찰서에서 피해경험사례에 대한 접근이 거의 불가능하기에 국내 5대 포털 사이트에서 피해경험사례들을 수집하기로 하였다. 피해경험 사례에 대한 수집은 2015년 9월 1일부터 12월 31일까지 4개월 동안 피해사례들을 수집하고 관련 동향별로 범주화하고 주요 사례들을 스크립트기법을 활용하여 분석하였다.
대상 데이터
스미싱 범죄의 경우 다른 범죄들과 비교하여 범행직후 피해사실을 알기 어렵고 또한 피해자들 대부분이 자신의 어리석음에서 범죄피해의 원인을 찾는 경향이 있다. 게다가 암수범죄율이 높기 때문에 관할경찰서에서 피해경험사례에 대한 접근이 거의 불가능하기에 국내 5대 포털 사이트에서 피해경험사례들을 수집하기로 하였다. 피해경험 사례에 대한 수집은 2015년 9월 1일부터 12월 31일까지 4개월 동안 피해사례들을 수집하고 관련 동향별로 범주화하고 주요 사례들을 스크립트기법을 활용하여 분석하였다.
면담조사 진행을 위해 2015년 12월부터 2016년 1월까지 2개월 동안 1회 평균 50분간 진행되었다. 면접조사대상이 10명인 이유는 심층면접 조사에서 수집된 자료를 정리하는 과정에서 8명을 초과하면서 수집된 자료의 중복성이 높아져 심층면접의 추가적인 필요성이 줄어들어 최종 10명으로 하였다.
심층면접조사의 조사대상은 경찰서 지능범죄수사팀소속 경찰공무원 10명이며, 반구조화된 설문(SemiUnstructured Interview)5)형식에 기초하여 동일한 조건에서 이루어졌다. 면담조사 진행을 위해 2015년 12월부터 2016년 1월까지 2개월 동안 1회 평균 50분간 진행되었다.
이를 위해 이 연구에서는 국내 5대 포털 사이트(네이버: naver, 다음: daum, 네이트: nate, 야후: yahoo,구글: google 등)들의 검색을 통해 스미싱 피해경험사례들을 수집하였다. 스미싱 범죄의 경우 다른 범죄들과 비교하여 범행직후 피해사실을 알기 어렵고 또한 피해자들 대부분이 자신의 어리석음에서 범죄피해의 원인을 찾는 경향이 있다.
스미싱 범죄 피의자들의 범행을 분석하기 위해 기소된 피의자들의 구체적인 범죄행동을 기록하는 ‘사건의견서’를 기반으로 분석하였다. 조사 대상은 2015년01월부터 2015년 12월까지 12개월 동안 서울지방경찰청 소속의 7개 경찰서에서 다룬 사건들 중에서 사전에 해당 경찰서의 동의협조를 구해 최종적으로 87건의 사건의견서 자료를 열람 및 조사하는 방식으로 진행되었다.
이론/모형
본 연구를 위해 채택한 연구방법은 스크립트 기법이다. 기존선행연구들은 자료수집을 위해 면담조사방법만을 사용해왔다.
또한, 신종범죄이기 때문에 공식통계 뿐만 아니라 선행연구 역시 부족한 현실이다. 이에 이 연구에서는 스미싱 범죄의 수법과 상황적 맥락을 파악하기 위해 범죄스크립트기법를 활용하여 분석하였다.
성능/효과
넷째, 대부분의 스미싱 범죄에 가담하는 피의자들은 죄의식이 결여되어 있는 것으로 나타났다. 본 연구 결과 스미싱 범죄는 국내의 불특정 다수의 피해자들에게 문자메시지를 통해 이루어지기 때문에 비대면성, 익명성이 보장되며 또한, 검거 가능성이 매우 낮아 범죄인들의 죄의식이 다른 사기사건에 비해 낮은 편이었다.
넷째, 인증번호 가로챔과 소액결재 완료이다. 대부분의 사견의견서 분석 결과, 스미싱 범죄조직들은 피해자의 스마트폰에 악성App을 설치하면서 수신문자를 스마트폰 화면에 표시하지 않고 가로채는 지능형 악성App 역시 활용하여 피해자들이 결제 확인 통보문자를 받지 못하도록 하는 방법을 주로 활용하는 것으로 분석되었다.
넷째, 인증번호 가로챔과 소액결재 완료이다. 대부분의 사견의견서 분석 결과, 스미싱 범죄조직들은 피해자의 스마트폰에 악성App을 설치하면서 수신문자를 스마트폰 화면에 표시하지 않고 가로채는 지능형 악성App 역시 활용하여 피해자들이 결제 확인 통보문자를 받지 못하도록 하는 방법을 주로 활용하는 것으로 분석되었다. 마지막으로 결제가 완료되면 스미싱 범죄피해자에게 결제금액이 청구됨으로써 스미싱 범죄로 인한 소액결제가 발생하는 것으로 분석되었다.
둘째, 스미싱 범죄조직이 점조직형태로 이루어지고 유지된다는 점이다. 스미싱 범죄조직의 구성원들은 수사기관(경찰, 검찰 등)의 추적과 검거를 피하기 위해추적이 어려운 노트북을 활용하여 범죄를 저지르는 것으로 밝혀졌다.
둘째, 악성App이 성공적으로 설치되면 그 다음, 개인정보를 유출하고 유출된 개인정보는 스미싱 범죄조직에 전달되는 것으로 나타났다. 개인정보의 유형으로는 일반적으로 전화번호, 개인신상정보, 주민등록번호, 각종카드번호 등이 주 대상으로 나타났다.
이러한 이유로 도로교통법 위반에 근거한 스미싱 문자의 경우 대다수의 시민들이 스미싱 범죄로 치부하고 무시하기는 사회공학적 측면에서 쉽지 않다. 둘째, 지인사칭형의 경우 가족, 친지, 지인 형태 문자 메시지 시나리오가 존재했고, 의무부과형은 동창회 및 각종 모임형태의 문자 메시지 시나리오 등이 존재하는 것으로 나타났다. 결론적으로, 7개 경찰서에 입건된 87개의 스미싱 범죄사건의견서들을 분석 및 해당 유형들을 범주화하면 아래<표 1>과 같다.
스마트폰 사용자가 증가 한만큼 스미싱 범죄로 인한 피해 역시 늘어날 수밖에 없다. 둘째, 출처확인이 불가능한 사이트에서 앱을 다운로드 하는 과정에서 악성 앱이 다운로드 되는 것을 들 수 있다. 셋째, 주민등록번호와 모바일폰 번호 그리고 통장계좌번호 등과 같은 개인정보의 유출로 인해 개인의 사생활 정보가 노출되면서 각종 맞춤식 문자들이 대량으로 수신되고 있다.
게임사이트의 경우 게임 아이템을 구매한 후, 게임 계정 자체를 되팔아서 수익을 올리는 방법이 주로 사용되는 것으로 나타났다. 또한 신용카드의 경우 한도액까지 횟수 제한 없이 소액결제가 가능하다는 점 역시, 스미싱 범죄를 증가를 야기하는 것으로 조사되었다.
대부분의 사견의견서 분석 결과, 스미싱 범죄조직들은 피해자의 스마트폰에 악성App을 설치하면서 수신문자를 스마트폰 화면에 표시하지 않고 가로채는 지능형 악성App 역시 활용하여 피해자들이 결제 확인 통보문자를 받지 못하도록 하는 방법을 주로 활용하는 것으로 분석되었다. 마지막으로 결제가 완료되면 스미싱 범죄피해자에게 결제금액이 청구됨으로써 스미싱 범죄로 인한 소액결제가 발생하는 것으로 분석되었다.
둘째, 문자 메시지 시나리오 작성이다. 문자메시지 시나리오는 여러 가지 상황들을 고려하여 50가지 이상을 제공하고 있었으며, 스미싱 범죄성공율을 높이는데 가장 중요한 부분이기도 하며, 시나리오별 사칭기관에 따라 내용 역시 여러 가지 형태로 작성되는 것으로 나타났다. 스미싱 범죄 특성에 따라 크게 불특정 다수와 특정인을 대상으로 한 유형으로 분류가능하다.
넷째, 대부분의 스미싱 범죄에 가담하는 피의자들은 죄의식이 결여되어 있는 것으로 나타났다. 본 연구 결과 스미싱 범죄는 국내의 불특정 다수의 피해자들에게 문자메시지를 통해 이루어지기 때문에 비대면성, 익명성이 보장되며 또한, 검거 가능성이 매우 낮아 범죄인들의 죄의식이 다른 사기사건에 비해 낮은 편이었다.
첫째, 국제성 범죄라는 것이다. 본 연구에서 소개된 대부분의 스미싱 범죄조직들은 해외조직과 국내조직으로 구분되어 있었으며, 또한 스미싱 범죄를 실행하는 사람은 조선족, 중국인 유학생, 한국인 등으로 다양하게 구성되어 있었다.
사회 및 시국이슈로는 “세월호”, “대선”, “북한관계악화로 인한 예비군 소집”, “재난관련 문자내용” 등이, 일반적인 내용으로는 “도로교통법 위반에 따른 범칙금 및 과태료청구” 등이 존재하였으며, 이를 통해 피해자들이 문자메시지에 첨부된 단축 URL주소를 클릭하도록 유도하고 이를 통해 악성App을 성공적으로 설치하는 것으로 나타났다.
셋째, 스미싱 범죄수법이 다양하게 진화하고 있다는 것이다. 경찰과 검찰과 같은 특정 기관들을 일정 기간 동안 사칭하다가 사람들에게 많이 알려져 있다고 판단되면 새로운 기관으로 변경하여 사칭하고 있으며, 피해자들의 스마트폰에 악성App을 설치하면서 수신문자를 스마트폰 화면에 표시하지 않고 가로채는 지능형 악성App 역시 활용하여 피해자들이 결제 확인 통보 문자를 받지 못하도록 하는 방법 등을 통해 피해자들이 자신이 속았다는 사실을 바로 알지 못하도록 함으로써 범죄피해에 대한 효과적인 대응을 무력화 시키는 것으로 조사되었다.
셋째, 확보된 개인정보를 바탕으로 주로 게임사이트 등에서 개인정보(전화번호, 이동통신사, 주민번호 등)를 활용하여 결제를 시도하고, 인증번호를 가로챈 후, 이를 통해 결제를 완료하고 결국 스미싱 범죄 피해자에게 결제금액을 청구하는 것으로 나타났다. 게임사이트의 경우 게임 아이템을 구매한 후, 게임 계정 자체를 되팔아서 수익을 올리는 방법이 주로 사용되는 것으로 나타났다.
스미싱 범죄 실행 단계에서는 크게 7가지(스미싱 문자발송 및 악성App 설치, 개인정보유출, 서버를 통한 스미싱 범죄조직에 개인정보 전달, 게임사이트 같은 곳에서 개인정보를 이용한 결제시도, 인증번호 가로챔, 가로챈 인증번호로 결제완료, 피해자에게 결제금액 청구)의 수법패턴을 보이는 것으로 확인되었다. 범죄준비단계에서 개인정보 수집과 문자메시지 스크립트 구성이 완료되면, 먼저, 불특정다수와 특정인들을 대상으로 스미싱 문자를 발송한다.
스미싱 범죄의 양태를 파악하기 위해 문자메시지 형태와 악성코드 형태를 기준으로 살펴보면, 먼저 문자메시지의 경우, 주로 할인 및 무료쿠폰, 지인사칭, 모바일청첩장, 결제, 기타 국가기관 사칭, 세월호 등과 같은 정치적 그리고 사회적 이슈 등의 내용들이 주된 내용으로 일반시민들의 심리를 활용한 사회공학적 기법을 사용하는 것으로 나타났다. 구체적으로 살펴보면, 평상시에는 보험관련(건강보험, 화재보험, 교육보험, 연금보험 관련 등)내용들과 커피와 영화 무료쿠폰이 많으며, 연말(11, 12월)이나 명절(설날, 추석 등) 그리고 학기시작(2월,3월, 9월 등)에는 할인 쿠폰과 무료쿠폰 형태의 메시지들이 급증하며, 정치적 이슈시기(세월호, 테러, 국회의원, 보궐선거 등)때 역시 관련내용들의 메시지들이 급증하는 것으로 나타났다[11]
범죄준비단계에서 개인정보 수집과 문자메시지 스크립트 구성이 완료되면, 먼저, 불특정다수와 특정인들을 대상으로 스미싱 문자를 발송한다. 이 경우 가급적성공적으로 악성App을 설치하기 위해, 월별 및 사회적 이슈 그리고 가장 일반적인 내용들의 스미싱 문자를 발송하는 것으로 나타났다. 예를 들어, 월별 이슈로 항상 보내는 문자내용은 “설날”, “추석”, “어린이날”, “어버이날”, “스승의날”, “광복절”, “크리스마스이브”, “성탄절” 등이 있는 것으로 나타났다.
스미싱 범죄 준비 단계에서는 크게 2가지(개인정보수집, 문자메시지 스크립트 구성)의 수법패턴을 보이는 것으로 확인되었다. 첫째, 개인정보 수집의 경우 사건의견서의 87건 중에서 78건(약 90%)이 중국의 포털사이트(바이두, 소후 등) 혹은 국내 개인(개인정보 판매상 등) 및 업체(대리운전업체 등) 등을 통해 개인정보 한 건당 1원도 안 되는 헐값에 개인정보를 수집하는 것으로 나타났다. 구체적으로, 한 사례의 경우, 범죄피의자들은 3500만 건의 개인정보를 100-200만원으로 불법적으로 취득하였다.
첫째, 협박형의 경우 최근에는 “도로교통법” 위반과 같은 고지서 발급내용들이 많은 것으로 나타났다.
해외조직은 대부분 헤커업무를 담당하며, 한국조직원들의 업무는 주로 “스미싱 문자발송”, “해외서버 관리”, “게임계정 생성”, “설치된 스미싱을 통해 설치되는 악성 애플리케이션(App)이 잘 작동하는지 테스트하는 업무”, “유출한 개인정보를 바탕으로 신용카드 도용결제” 등으로 분석결과 확인되었다.
후속연구
또한, 스미싱 범죄는 그 수법이 날로 진화하고 있으며, 나아가 피싱사이트로 유인해 보안카드번호 등을 빼내 예치되어 있는 예금을 몰래 가로채는 파밍, 가짜 팝업창을 띄워 보안카드 비밀번호 앞뒤 2자리를 빼내는 메모리해킹수준까지 진화하고 있는 실정이다. 그러므로 범죄스크립트기법을 활용하여 변종 피싱 그리고 파밍 같은 신종범죄들에 대한 추가적인 후속 연구가 활발히 이루어져야 한다.
이 연구의 결과를 통한 정책적 대안들을 제시한다면, 스미싱 범죄는 합리적 선택에 기초하여 발생하기 때문에 ‘범죄수단의 차단’ 측면에서 스미싱이 문자메시지를 매개체로 이루어진다는 점에 착안하여 “스미싱 차단 어플”을 개발 및 설치하여 스미싱 범죄에 대응하여야 한다. 그리고 2016년 현재 스미싱 범죄와 관련된 신종범죄들이 증가추세이므로 스미싱 범죄에 대한 분석 및 후속 연구를 통해 신종사기범죄 예방을 위한 지속적인 노력이 요구된다. 또한, 스미싱 범죄는 그 수법이 날로 진화하고 있으며, 나아가 피싱사이트로 유인해 보안카드번호 등을 빼내 예치되어 있는 예금을 몰래 가로채는 파밍, 가짜 팝업창을 띄워 보안카드 비밀번호 앞뒤 2자리를 빼내는 메모리해킹수준까지 진화하고 있는 실정이다.
이 연구의 결과를 통한 정책적 대안들을 제시한다면, 스미싱 범죄는 합리적 선택에 기초하여 발생하기 때문에 ‘범죄수단의 차단’ 측면에서 스미싱이 문자메시지를 매개체로 이루어진다는 점에 착안하여 “스미싱 차단 어플”을 개발 및 설치하여 스미싱 범죄에 대응하여야 한다.
질의응답
핵심어
질문
논문에서 추출한 답변
스미싱 범죄 중 문자메세지를 이용한 기법은 어떠한 것들이 있는가?
스미싱 범죄의 양태를 파악하기 위해 문자메시지 형태와 악성코드 형태를 기준으로 살펴보면, 먼저 문자메시지의 경우, 주로 할인 및 무료쿠폰, 지인사칭, 모바일청첩장, 결제, 기타 국가기관 사칭, 세월호 등과 같은 정치적 그리고 사회적 이슈 등의 내용들이 주된 내용으로 일반시민들의 심리를 활용한 사회공학적 기법을 사용하는 것으로 나타났다. 구체적으로 살펴보면, 평상시에는 보험관련(건강보험, 화재보험, 교육보험, 연금보험 관련 등)내용들과 커피와 영화 무료쿠폰이 많으며, 연말(11, 12월)이나 명절(설날, 추석 등) 그리고 학기시작(2월,3월, 9월 등)에는 할인 쿠폰과 무료쿠폰 형태의 메시지들이 급증하며, 정치적 이슈시기(세월호, 테러, 국회의원, 보궐선거 등)때 역시 관련내용들의 메시지들이 급증하는 것으로 나타났다[11]
스미싱이란?
스미싱(Smishing)이란 보안 소프트 회사인 McAfee1)에서 최초로 사용되기 시작한 용어로서 문자메시지(Short Message Service: SMS)와 피싱(Phishing)을 합성하여 탄생된 언어이다[6]. 일반적으로 스미싱 범죄는 문자메시지를 기반으로 하여 개인의 스마트폰 해킹기술을 활용해 Site Link가 포함된 문자메시지를 보내고 스마트폰 사용자가 해당 사이트링크를 클릭하게 되면 자동적으로 악성코드(트로이목마2) 등)가 설치되어 범죄자가 피해자의 스마트폰을 통제 및 접근 가능한 상태로 만들게 되는 것이다.
스미싱 범죄는 어떠한 범죄를 지칭하는가?
일반적으로 스미싱 범죄는 문자메시지를 기반으로 하여 개인의 스마트폰 해킹기술을 활용해 Site Link가 포함된 문자메시지를 보내고 스마트폰 사용자가 해당 사이트링크를 클릭하게 되면 자동적으로 악성코드(트로이목마2) 등)가 설치되어 범죄자가 피해자의 스마트폰을 통제 및 접근 가능한 상태로 만들게 되는 것이다. 결국, 스마트폰으로 부터 금융정보를 포함한 개인정보를 허가 없이 취득하고 이를 활용하여 소액결제를 통한 결제피해를 청구하는 범죄를 지칭한다.
참고문헌 (18)
이숙영, '스미싱범죄 추적 지원시스템에 대한 연구', 동국대학교 대학원 석사학위논문, 2014.
이아영, '클라우드 환경에서 실시간 스미싱 탐지기법에 대한 연구', 숭실대학교 정보과학대학원 석사학위논문, 2014.
이재훈, '바이트코드분석을 통한 안드로이드 플랫폼 스미싱 방지기법', 숭실대학교 정보과학대학원 석사학위논문, 2014.
주춘경, '개인식별화된 SMS 발송을 통한 스팸식별 및 스미싱 예방: 금융권중심', 고려대학교 정보보호대학원 석사학위논문, 2015.
조지호, 'TaintDroid를 이용한 스미싱 탐지 기법에 대한 연구', 한남대학교 대학원 석사학위논문, 2014.
치안정책연구소, '치안전망 2015', 서울: 치안정책연구소, 2015.
차용범, '단축 URL의 행위 분석을 통한 스미싱 범죄에 대한 선제적 대응방안 연구', 고려대학교 정보보호대학원 석사학위논문, 2015.
Beauregard, E. & Leclerc, B., "An application of the rational choice approach to the offending process of sex offenders: A closer look at the decision-making", Sex Abuse, Vol 19, pp. 115-133, 2007.
Canter, D. & Young, D., 'Investigative psychology: Offender profiling and the analysis of criminal action'. John Wiley & Sons, 2009.
Clarke, R. V. & Cornish, D. B., Modeling Offenders' Decisions: A Framework for Policy and Research. In M. Tonry. & Morris, N. (Eds.) Crime and Justice: An Annual Review of Research. Vol 16. Chicago, IL: University of Chicago Press. pp. 79-91. 1985.
Choi, K., Lee, J. K. & Chun, Y. T., "Voice Phishing Fraud and Its Modus Operandi", Security Journal. Online Version: pp. 1-13, 2015.
Maxfield, M. G. & Babbie, E. R., 'Research methods for criminal justice and criminology', Belmont, CA: Wadsworth Cengage learning, 2011.
Nykodym, N., Taylor, R. & Julia V., "Criminal profiling and insider cyber crime." Computer Law & Security Review, Vol 21(5), pp. 408-414, 2005.
Tompson, L. & Chainey, S., "Profiling illegal waste activity: Using crime scripts as a data collection and analytical strategy", European Journal of Criminal Policy Research, Vol 17, pp. 179-201, 2011.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.