/사진=테크M
/사진=테크M

이번 명절 연휴에도 어김없이 찾아온 불청객 '스미싱'이 기승을 부리고 있다. 혹시나 세뱃돈을 쏜다거나 명절 선물이 왔다는 문자를 받았다면 첨부된 링크를 클릭하지 말고 스미싱이 아닌지 한 번 더 신중히 확인해 보길 당부한다.

문자메시지가 당신의 개인·금융 정보를 노린다

스미싱이란 문자메시지(SMS)와 피싱(Phishing)의 합성어로, 악성 앱 주소가 포함된 휴대폰 문자를 발송하고 사용자가 이를 설치하도록 유도해 개인정보나 금융정보 등을 탈취하는 사기 수법이다. 스미싱으로 의심되는 문자메시지나 메신저 대화를 받았을 때는 메시지 속에 포함된 웹 주소나 전화번호를 절대 클릭하지 말고 메시지를 반드시 삭제해야 한다.

해마다 명절 때면 문자로 인사나 안부를 묻는 경우가 많아 스미싱이 더욱 극성을 부린다. 명절에 조심해야 할 스미싱 중 대표적인 사례가 택배 사칭 사례다. 설날 선물세트가 배송 중이니 주소지를 입력해 달라고 하거나, 배송이 불가하니 수취 정보를 확인해 달라는 식으로 악성 앱 주소를 클릭하도록 유도하는 방식이다. '명절 선물 문자' 유형도 주의해야 한다. '00님이 보낸 기프트콘이 도착했습니다' '명절 선물로 모바일 상품권을 보내드립니다' 등의 문자를 보내 URL을 누르도록 하는 식이다.

최근에는 이런 유형의 스미싱에 대한 지속적인 주의가 권고되면서 국민들이 위험성을 인지하자, 범죄자들은 수법을 다양화하고 있다. 가짜 모바일 부고장 등을 활용한 '지인 사칭형' 스미싱 문자나 공공기관이나 금융기관 등을 사칭해 교통법규 위반, 건강보험 무료 검진 등의 내용으로 가짜 주소 클릭을 유도하는 스미싱 유형이 크게 늘고 있다.

스미싱 문자메시지 사례 /사진=금융위원회
스미싱 문자메시지 사례 /사진=금융위원회

 

설 명절, 반드시 알고 있어야 할 피싱 유형 5가지

국내 보안기업 이스트시큐리티는 설 연휴 부모님께 꼭 알려드려야 할 피싱 공격 5가지 유형을 제시했다. 첫번째는 악성앱 설치를 유도하는 스미싱으로, 설 연휴기간, 명절 귀성길에 오르는 사람들을 타깃으로 하는 '과속', '신호위반', '쓰레기 무단투기' 등의 키워드를 이용한 스미싱 공격이 지속될 것으로 예상되며, '세벳돈', '송금'과 같은 키워드의 새로운 스미싱도 등장할 것으로 예상된다.

또한 QR코드를 이용한 '큐싱' 공격도 주의해야 한다. 큐싱이란 QR코드를 이용한 사기 수법으로, 악의적인 QR코드를 통해 사용자로 하여금 악성 apk 설치나 악성 링크에 접속하도록 유도한다. 특히 육안으로는 QR코드의 진위 여부를 확인하기 어려워 더 각별한 주의가 필요하다. 큐싱 공격을 예방하기 위해서는 출처가 불분명한 QR코드의 스캔을 지양하고, QR코드 스캔 시 apk 설치를 유도하거나 개인정보 입력을 유도한다면 URL 확인을 통해 정상 서비스인지 확인하는 습관이 필요하다.

'콘텐츠 이용료', '카드 발급' 등과 같은 키워드를 이용하여 콜백을 유도하는 스미싱도 주의가 필요하다. 해당 번호로 전화를 걸면 고객센터를 위장한 공격자들이 전화를 받으며 본인확인 후 악성 앱 설치를 유도해 사용자의 개인정보 및 금융 정보 탈취를 시도한다. 명절 연휴에 이런 피해를 입었을 경우 빠른 대처가 어려울 수 있기 때문에 각별한 주의가 필요하다.

설 연휴 여행족들을 노리는 스캠 공격도 존재한다. 숙박 플랫폼이나 숙박업소를 위장해 사용자들을 속여 신용카드 정보를 탈취하고 금전적 피해를 입히는 공격이다. 만일 '카드오류', '자동취소'와 같은 내용과 함께 링크가 포함된 메일 혹은 메시지를 받았다면, 링크를 클릭하지 말고 해당 숙소를 통해 스캠 여부를 반드시 확인하시는 것이 좋다.

마지막으로 '국세청', '국민연금' 등과 같은 키워드를 이용하여 계정정보 탈취를 시도하는 피싱 메일을 주의해야 한다. 피싱 메일을 통해 계정정보가 탈취될 경우 무작위로 계정정보를 대입해 해킹하는 '크리덴셜 스터핑(Credential Stuffing)' 공격을 통해 추가 피해를 야기할 수 있다.

/사진=이스트시큐리티
/사진=이스트시큐리티

URL 클릭 주의…피해 입었다면 24시간 언제든 신고부터

이런 스미싱 범죄자들이 노리는 건 결국 금전이다. 실수로 스미싱에 포함된 URL을 클릭 해 악성 앱이 설치되면 문자·연락처·사진 등 파일이 모두 빠져나가 개인정보가 노출된다. 보이스피싱 조직은 이렇게 확보한 정보로 경찰·검찰·금융감독원 직원 등을 사칭해 피해자에게 장기간에 걸쳐 고액을 편취한다.

경찰에 따르면 과거에는 수십~수백만원 수준의 소액결제를 노리는 스미싱이 많았지만, 최근에는 수법이 더 정교해지면서 수천만원 규모의 피해사례도 나오고 있다. 금융당국은 신원이 확인되지 않은 상대방이 앱 설치나 계좌 비밀번호를 요구하는 경우 심각한 재산상 피해가 발생할 수 있으므로 어떠한 경우에도 상대방의 요구에 응하지 말고 전화를 끊거나 메시지를 무시해야 한다고 조언한다.

경찰청과 관세청 등 282개 공공·금융기관은 문자 발송 시 안심마크 서비스를 표기한다. 안심마크는 금융·공공기관 등이 발송한 문자가 정상적인 문자임을 확인해주는 서비스다. 또 지인을 사칭한 사기 문자를 구분할 수 있도록 해외 로밍으로 발송된 문자는 이동통신사가 '[로밍발신]' 이라는 안내 문구를 문자에 표기해서 발송하도록 할 예정이다.

만약 설 연휴 기간 중 스미싱·메신저피싱 등으로 피해를 입었다면 보이스피싱 통합신고·대응센터(112)나 피해금이 입금된 금융사 콜센터에 연락해 지급정지를 신청해야 한다. 해당 피해구제 상담은 24시간 받을 수 있다.


남도영 기자 hyun@techm.kr

관련기사

키워드

Top #스미싱 #악성코드 #불법 URL #큐싱 #문자메시지 #해킹 #보안 #사기