#. 가수 임영웅 팬인 A씨는 지난 달 초 임영웅 리사이틀 티켓 예매 문자를 받고 깜짝 놀랐다. 아직 티켓 예매가 시작된다는 얘기를 듣지 못했는데 갑작스런 문자에 혹여나 콘서트를 가지 못할까봐 부리나케 접속했다. 이 문자에는 '아임히어로 임영웅과 함께하는 2024 리사이틀 연말 콘서트에 초대한다'는 간단한 인사말과 함께 공연명과 공연 일시, 장소, 좌석 등급 등이 소개돼 있어 아무 의심도 하지 않았다. 하지만 막상 링크에 접속해보니 '사용이 중지된 파트너'라고 안내됐고 결국 스미싱 문자였다는 사실을 뒤늦게 알게됐다.
#. 20대 취업준비생 B씨는 지난달 제출한 이력서가 서류 전형에 합격했다는 사실을 문자로 통보 받았다. 담당자라는 사람은 소셜미디어(SNS)를 통해 화상 면접을 위한 앱 설치를 안내 했고, B씨는 보안이 강화된 앱이라는 말에 아무 의심 없이 앱을 다운 받았다. 이후 담당자는 면접비 지급을 위한 서류 작성이 필요하다며 본인 확인을 위한 주민등록증 복사본을 요구했다. B씨는 순간 의심했지만 회사 내부 규정이라는 말에 복사본을 넘겼고, 결국 B씨 명의로 핸드폰 개설, 예금 출금, 비대면 대출이 이뤄진 채 담당자와 연락이 끊겼다.
이처럼 최근 콘서트 예매, 취업뿐 아니라 교통 위반, 층간소음 행위 등으로 경찰서에서 벌금 청구 문자를 보낸 것처럼 꾸며 다른 사람의 정보를 수집하거나, 돈을 갈취하는 '스미싱(미끼문자, SMS+피싱)'이 급증하고 있는 것으로 나타났다. 공용 자전거, 전동 킥보드, 전단지 등에 포함된 QR코드 안에 악성코드나 피싱사이트를 연결해 전파하는 '큐싱(QR코드+피싱)' 등 신종 피싱 피해도 많아져 사용자들의 주의가 요구된다.
1일 한국인터넷진흥원(KISA)에 따르면 올해 1월부터 10월까지 탐지된 스미싱 건수는 150만8천879건으로, 이미 지난해 전체 50만3천300건의 세 배에 달했다. 2022년 탐지 건수인 3만7천122건과 비교하면 무려 약 40.6배 증가한 수치다.
특히 지난해부터 공공기관이나 지인을 사칭하는 사례가 급증하고 있는 상태로, 올해 탐지 건수 중 공공기관 사칭 스미싱만 96만123건에 달했다. 지인을 사칭한 건수는 27만9천757건, 택배나 금융기관을 사칭하는 경우도 빈번했다.
스미싱 기법도 최근 들어 다양하게 진화하고 있는 것으로 파악됐다. 그간 벌금청구서 발급, 콘서트티켓 구매 안내 등을 사칭한 문자에 악성 앱으로 연결되는 URL(인터넷주소)를 넣어 클릭을 유도했으나, KISA나 정부·기업 등에서 악성 URL을 탐지해 차단하는 방안을 내놓자 우회 전략을 펼치고 있는 것이다.
가장 많이 등장하는 수법으로는 미끼문자에 URL을 넣는 것이 아니라 카카오톡·라인 등 메신저 대화방으로 타겟을 유인하는 식이다. '한번 만나요 ID : OOOO', '샤워할 때 찍었어용 보실래요 ID : OOOO' 등과 같은 형태의 스미싱 문자가 기승을 부리는 것도 이 때문이다. 호기심에 대화방에 들어온 이들이 대화를 이어가다 악성 URL을 클릭할 경우 정부·기업 등은 이를 기술적으로 걸러내기가 힘든 것으로 알려졌다.
피해자가 URL에 들어가게 되면 악성앱(APK) 유포 서버를 통해 스마트폰에 악성 앱이 설치·실행돼 스미싱 공격자가 피해자 스마트폰 제어권을 장악할 수 있게 된다. 특히 스마트폰에 담긴 신상정보·메신저 및 통화 내역·연락처 목록·사진첩 등에 모두 접근할 수 있고 전화 감시 및 실시간 차단도 가능하다는 점에서 상당한 피해가 발생하게 된다. 최근 늘어나고 있는 취준생 대상 스미싱 등도 피해자의 정보를 구체적으로 파악해 범죄를 시도한 경우다.
이동연 국민피해대응단장은 "스미싱 공격자가 정보를 다 가지고 온 후에는 '맞춤형'으로 피해자에게 보이스피싱을 시도하게 된다"며 "'OOO씨 무슨 대출 받으셨죠', 'OOO씨죠? 검찰입니다' 등 더 교묘하고 정교한 말로 공격을 한다는 점에서 대응책을 마련하려고 한다"고 설명했다.
이처럼 피싱 공격이 나날이 진화하면서 정부도 피해 방지를 위해 총력전을 벌이고 있다.
KISA는 지난 5월 국민피해대응단을 신설해 대응하고 있는 상태로 ▲미끼문자의 원천 차단을 통한 노출 방지 ▲피싱공격 발생 억제 ▲취약계층 대상 안전한 스마트폰 환경 구축 등의 사업을 추진하고 있다. 해외에서 발송되거나 인터넷을 통해 대량 발신되는 문자에 [국제발신], [Web발신], [로밍발신] 등 문구를 넣어 피싱 여부를 쉽게 알게 해주는 것도 이곳에서 진행하고 있다. 지난 3월부터 운영하고 있는 '스미싱 확인 서비스' 역시 대표적인 사례로, 서비스 시작 후 현재까지 약 22만3천명이 가입했다.
또 보이스피싱범 1명의 명의로 최대 5개의 휴대전화 번호를 쓸 수 있는 만큼, KISA는 내년부터 하나의 번호가 피싱 악용 번호로 확인되면 그 명의로 사용되고 있는 전화번호·인터넷 회선을 한 번에 이용 정지하는 방안도 추진한다.
더불어 이달부터는 QR코드 피싱 예방을 위해 기존 스미싱 확인서비스를 제공해왔던 카카오톡 '보호나라' 채널에 '큐싱 확인서비스'를 추가해 큐싱 피해 방지에 나선다는 방침이다. 이 서비스는 'QR코드' 메뉴를 누르고 의심되는 QR코드를 촬영하면 KISA가 악성 여부를 판단해 결과를 알려준다. 판독에 걸리는 시간은 평균 10분이다.
또 KISA는 삼성전자와 협력해 문자 안심마크 서비스도 개선한다. 국가·공공기관 사칭이 잦은 만큼 진짜 공공기관 메시지에는 '확인된 발신번호' 등 안전하다는 표시를 강조하는 효과를 담은 '안심마크 플러스'를 다음달 중 선보일 예정이다.
다만 애플 '아이폰' 등 외산폰에는 이 서비스가 제공되지 않는다. 애플이 현재 '글로벌 방침'이라는 이유로 해당 서비스 도입을 거부하고 있어서다. 현재 애플 '아이폰'은 긴급구조에 필요한 위치정보와 '악성문자 필터링 서비스' 등도 삼성전자 '갤럭시폰'과 달리 제공하지 않고 있다.
석지희 KISA 보이스피싱대응팀장은 "공공기관과 금융기관의 발신번호에 안심마크를 표시하는 서비스를 올해까지 280개 공공기관에 적용할 예정"이라며 "삼성전자와 협의해 안심 마크에 강조 효과를 추가하는 형태로 업데이트를 진행하고 있다"고 밝혔다.
앞서 방송통신위원회와 과학기술정보통신부도 지난달 28일 '불법스팸 방지 종합대책'을 내놨다. 불법스팸을 보낸 사람의 범죄 수익을 몰수하는 것은 물론, 관련 서비스를 제공하면서도 불법스팸 발송을 묵인하고 방치한 이동통신사·문자중계사·재판매사에 대해서도 과징금을 부과한다는 내용을 담았다.
관련기사
- "추석 선물 모바일 상품권 보냅니다"…이 문자 눌렀다간 '큰일'2024.09.07
- 대박 주식 노리다 돈 날렸다…공모주 '피싱' 문자 주의2024.07.30
- "위장된 악성 웹사이트 만든 공격 기법은?"…10명 중 5명, '오답' 택했다2024.07.10
- 카카오뱅크 '문자 스미싱' 판별 서비스 내놓는다2024.11.11
이 단장은 "문자 수신단계가 아닌 발송단계에서 전송을 원천 차단하는 기술을 개발 중"이라며 "SNS, 클라우드로 우회하는 미끼 문자 차단을 강화하고 피해자들에게 SNS 피싱 알림체계를 마련하겠다"고 강조했다.
이어 "피싱 피해 발생 시 관련 통신사, 문자 발송자 등 유통경로에 있는 기업이 방조한 경우 일정 책임을 부과할 것"이라며 "단말기에서 기술적으로 차단해 미끼 문자가 수신되더라도 이용자가 확인하지 않도록 하겠다"고 덧붙였다.
