올해도 어느덧 마무리되고 내년을 맞이하는 시점이 다가왔다. 하지만 이런 연말·신년 시즌은 1년 중 공격자들이 가장 많은 ‘스미싱(Smishing)’ 공격을 하는 시즌이다. 그만큼 스미싱을 미리 예방하는 방법과 만약 스미싱 위험에 처했을 때 어떻게 대처하면 좋을지 알아 둬야 한다. 스미싱은 문자 메시지라는 뜻의 SMS와 피싱(Phishing)의 합성어로, 수신인이 속을 만한 것으로 사칭해 문자 메시지를 보낸 뒤 금융 정보를 포함한 온갖 개인 정보를 취득하는 공격이다. 일반적으로 수집 정보를 바탕으로 전자 금융 사기를 벌인다.
SK 텔레콤은 지난해 스미싱 의심 URL 문자 차단 건수가 1월부터 3월, 특히 신년 시즌에 집중된다고 밝혔다. 지난해 1월부터 3월 사이에 발생한 스미싱 의심 문자 차단 건수는 연간 전체 건수의 64% 이상이다. 지난해 월 평균 건수의 두 배 이상 스미싱 공격을 가하는 것으로 알려졌다. 또한 올해 과학기술정보통신부 조사 발표에 따르면, 설 연휴에 스미싱 공격으로 인한 범죄 시도가 늘었다고 한다. 연말·신년 시즌일수록 대중들이 스미싱에 대한 경각심을 키워야 하는 이유다.
가장 많이 발생하는 연말·신년 시즌 스미싱 유형 총 정리
연말·신년 시즌에 특히 증가하는 스미싱 유형은 총 네 가지로 정리할 수 있다.
1. 택배 사칭 스미싱
첫 번째 스미싱 유형은 ‘택배 사칭 스미싱’이다. 지난 1월, 과학기술정보통신부 보도 자료에 따르면 지난해 20만여 건의 스미싱 신고와 차단 건수 중 택배 사칭 스미싱만 대략 17만 5000건으로 전체 87%를 차지했다. 신년 초와 설 명절 시기는 1년 중 택배를 가장 많이 주고받는 시기이기 때문에 해당 상황을 집중적으로 악용해서 공격한 것으로 보인다. 또한 과학기술정보통신부에서 2019년부터 2021년 3년간 스미싱 유형별 신고 차단 통계에서 매해 가장 많은 비율을 차지한 것이 택배 사칭 스미싱이었다. 가장 경계하고 주의해야 하는 스미싱이다.
택배 사칭 스미싱은 위와 같은 예시로 들 수 있다. 주로 택배 오배송으로 인해 수신인에게 주소 입력을 요청하거나, 수령하지 않은 택배를 애플리케이션 설치 후 조회하라고 요청한다. 또한 택배 물량이 많아지는 시즌인 만큼 배송이 지연돼 앱을 다운로드하거나 특정 링크에서 배송 일정을 확인하라고 한다. 이외에도 설 명절 상황을 노려 설 명절 연휴 기념 모바일 상품권, 선물 등을 보냈으니 특정 링크나 앱을 통해 확인 바란다는 메시지, 설 연휴 기념 할인 쿠폰 확인 요청 등 많은 방법으로 사칭한다. 주로 택배사를 사칭해서 스미싱 메시지를 보내는 편이다.
2. 연말 정산 사칭 스미싱
두 번째 유형은 연말 정산 관련 스미싱 유형이다. 1월부터 3월 신년 시즌은 직장인이 연말 정산 신청을 하거나 3월 급여에 포함되는 금액을 미리 조회하는 기간이다. 따라서 공격자들은 이 점을 악용해 정부 기관인 척 연말 정산 관련해 사칭 스미싱 메시지를 보낸다.
연말 정산 사칭 스미싱은 위와 같은 예시로 들 수 있다. 국세청이나 국민연금공단처럼 국가 기관을 사칭해서 연말 정산 모바일 앱 설치를 요구하거나 연말 정산 환급금 결과 조회하기 위해 특정 링크나 앱 설치를 요청한다. 또한 연말 정산을 위한 노하우를 확인하도록 링크를 누르라고 하거나 신용카드, 현금 영수증 등 연말 정산 사용 내역 조회를 위한 사칭 등 여러 가지 방법으로 스미싱을 보낸다. 주로 정부 기관이나 금융사를 사칭하기 때문에 스미싱 메시지가 간결하고 이용자가 속기 쉬운 형태다.
3. 건강 검진 사칭 스미싱
세 번째 유형은 건강 검진 사칭 스미싱이다. 연말인 만큼 건강 검진을 받고 검진 보고서를 확인하지 않은 직장인들을 주요 공격 대상으로 삼는 형태다. 최근에 건강 검진을 받았으면 속아서 링크 누를 가능성이 높다. 또한 새해 맞이 신년 건강 검진을 받는 사람들 역시 스미싱에 당하기 쉽다.
건강 검진 사칭 스미싱은 위와 같은 예시로 들 수 있다. 국가보험센터나 건강보험공단처럼 관련 기관을 사칭해서 검진 보고서를 확인하라는 특정 링크를 전송한다. 또는 검진 보고서를 확인하기 위한 악성 앱 설치를 유도하기도 한다.
4. 정책 자금 지원금 사칭 스미싱
네 번째 유형은 소상공인 지원금 같은 정책 자금 지원금을 사칭한 스미싱이다. 코로나 바이러스로 인해 소상공인과 자영업자들이 영업에 지장을 받았고 이에 관해 정부에서는 계속해서 보상의 일환으로 지원금을 지급하는 중이다. 공격자들은 앞서 말한 상황을 악용해 스미싱 메시지를 보낸다. 소상공인이나 자영업자들은 자칫하면 속을 수 있다.
정책 자금 지원금 사칭 스미싱의 예시는 위와 같다. 주로 은행을 포함해 각종 금융 기업을 사칭하거나 정부를 사칭해 가짜 지원금 공지로 수신인들을 속인다. 각종 정책 자금 지원금을 지원한다며 가짜 신청 링크로 수신인이 금융 정보를 입력하는 것을 요구한다. 또한 가짜 공지에 기재한 번호로 수신인에게 전화를 유도한 다음 이름, 연락처, 대출 현황 등 개인 정보를 수집해 해당 정보를 보이스피싱 사기에 활용하기도 한다.
스미싱에서 가장 중요한 것은 사전 예방, 미리 막을 수 있는 방법은?
스미싱 공격에서 가장 중요한 것은 ‘사전 예방’이다.
□ 가장 중요한 것은 운영체제(OS)와 휴대 전화에 설치된 백신 앱은 수시로 업데이트해서 항상 최신 버전으로 둬야 한다. 그래야 최근에 발견된 보안 취약점도 패치할 수 있기 때문이다. 설치돼 있는 백신은 언제든 보안 위협을 탐지하기 위해 실시간 감시 상태로 설정한다.
□ 수신한 문자 속에서 출처가 확인되지 않은 인터넷 주소(URL)나 전화번호는 클릭하지 말아야 한다.
□ 알 수 없는 출처의 앱은 설치되지 않도록 사전에 설정해 둔다. 그리고 앱 설치 시에는 문자 속 알 수 없는 링크가 아닌, 구글 플레이(Google Play)나 원스토어(ONE store), 갤럭시스토어(Galaxy Store), 앱스토어(App Store) 등 반드시 공인된 오픈 마켓을 통해서만 설치해야 한다.
□ 이외 공공 장소에서 비밀번호 없이 보호되지 않는 공유기는 사용하지 말아야 한다. 보안 카드, 카드 비밀번호 등 금융 정보를 포함해 개인 정보 요구 시에는 절대 알려 주지 않도록 한다.
□ 중요 정보들을 휴대 전화에 저장해 두지 않아야 한다. 만일 실수로 링크를 클릭해 휴대 전화에 악성 앱이 설치되면 해당 앱이 휴대 전화에 저장돼 있는 정보를 모두 수집하기 때문이다.
스미싱 공격에 당했다면 대처 방안으로 피해 최소화해야
다음으로 스미싱 공격에 당했다면 어떻게 대처하면 좋을까. 먼저 휴대 전화에 신분증, 보안 카드 등 개인 정보를 촬영한 것이 있는지 확인한 후 선제적으로 삭제 조치를 취한다. 그리고 사용 중인 은행, 카드 등 금융 회사 콜 센터와 경찰청(112), 금융감독원(1332) 전화 후 계좌 지급 정지와 피해 구제 요청 등을 신청한다. 경찰서에 반드시 해당 피해 사실을 알려야 한다. 한국인터넷진흥원 역시 스미싱 신고를 받고 있으며, 인터넷 상담 센터 국번 없이 118로 상담한다. 24시간 무료 상담 서비스다. 다운로드 받은 악성 앱은 삭제해야 하며, 모바일 백신을 이용할 수 있고 수동으로 설치하는 것도 가능하다. 가장 깔끔하고 안전하게 삭제하는 법은 서비스 센터에 방문해 스미싱 피해 사실을 직원에게 알린 후 기기를 초기화하는 것이다. 휴대 전화에 공인 인증서처럼 금융 문서를 내장해서 사용했다면 공인 인증서도 폐기하고 재발급받아야 한다.
모바일 결제로 피해를 입었다면 통신사 고객센터를 통해 모바일 결제 내역을 확인하고, 이용자는 피해 의심되는 스미싱 문자를 캡처한다. 그리고 고객센터에 스미싱 피해를 신고하고 소액 결제 확인서를 발급받는다. 해당 문서를 지참해서 경찰서, 사이버수사대, 민원실을 방문하고 사고 내역을 신고하고 확인받은 후 사건사고 사실 확인서를 발급받는다. 사건사고 사실 확인서 같은 필요 서류를 지참해 통신사 고객센터에 팩스, 전자메일 등을 통해 송부한 후 통신사나 결제 대행 업체에 사실과 피해 내역을 확인한 후 피해 보상을 요구하도록 한다.
마지막으로 2차 피해를 예방해야 한다. 스미싱은 한 명의 피해자가 발생하면 피해자의 휴대 전화에 존재하는 모든 연락처 즉, 피해자의 주변 지인들에게 문자를 보내 추가적인 피해가 발생하도록 유도하는 경우도 허다하다. 따라서 피해자가 먼저 스미싱 피해를 주변 지인들에게 일괄적으로 메시지를 보내 해당 사실을 알리고 2차 피해가 양산되지 않도록 미연에 방지해야 한다.
테크플러스 에디터 박효정
tech-plus@naver.com
