회사원 김모(37) 씨는 최근 도로교통법 위반사건에 대한 문자메시지를 받고 깜짝 놀랐다. 교통법규를 위반한 기억이 없는 김씨는 곧바로 경찰서로 전화해 위반 사실이 없다는 사실을 확인했다. 김씨는 자신이 받은 문자메시지가 최근 유행하는 스미싱(smishing) 문자메시지임을 알고 또 한 번 놀랐다.

문자메시지 통해 악성코드 설치

문자메시지를 이용한 신종 휴대전화 해킹 기법인 스미싱이 기승을 부리고 있다. 돌잔치 초대장, 청첩장, 택배 운송장에 이어 경찰 출석 요구서와 도로교통법 위반 신고 등 경찰을 사칭한 스미싱 문자메시지까지 등장했다. 발신번호까지 교묘히 조작하기 때문에 자칫하면 속기 쉽다. 소비자 피해 범위와 규모도 커지고 있다.

사기 수법이 진화하는 만큼 소비자도 백신프로그램 설치나 소액결제 차단 등 스미싱 피해를 예방할 수 있는 방안을 적극 실행해야 할 것으로 보인다.

보이스피싱으로 시작한 금융사기 기법이 정보기술(IT) 및 기기 발전과 맞물리면서 진화하고 있다. 최근 급부상하는 사기 기법은 스마트폰 문자메시지를 활용한 스미싱이다. 스미싱은 문자메시지(SMS)와 피싱(phishing)의 합성어로, 문자메시지를 이용한 새로운 휴대전화 해킹 기법을 뜻한다.



웹사이트 링크가 포함된 문자메시지를 보낸 뒤 휴대전화 사용자가 링크를 클릭하면 트로이목마를 주입해 범죄자가 휴대전화를 통제하는 방식이다. 문자메시지에 첨부된 인터넷 주소(URL)를 클릭하면 악성코드가 설치되고, 스미싱 문자메시지를 발송한 범인에게 소액결제 인증번호가 전송된다. 범인은 이를 이용해 사이버머니나 게임아이템 등을 결제하고, 그 소액결제 대금은 피해자에게 청구된다.

최근 발생한 도로교통법 위반 관련 스미싱 문자메시지를 보면 ‘도로교통법 위반사건’이라는 문구와 함께 ‘2013형 제330-13220호’라는 사건번호도 함께 전송됐다. 문자메시지에는 ‘기소내용본문’이라며 내용을 볼 수 있는 인터넷 주소를 링크해 수신자의 클릭을 유도했다. 이 주소를 클릭하면 불법 애플리케이션(앱)이 스마트폰에 설치되며, 30만 원에 대한 소액결제가 진행된다. 실수로 클릭하면 눈 깜짝할 사이 사기를 당하는 구조다.

스미싱은 형태를 바꿔가며 계속 발생하기 때문에 소비자가 속기 쉽다. 스마트폰에 저장된 연락처 정보를 빼내고, 해당 연락처로 스미싱 문자메시지를 발송한 경우도 있다. 지인 번호로 온 문자메시지에 첨부된 돌잔치 초대장이나 청첩장을 의심하지 않고 클릭했다가 사기를 당하기도 했다. 경찰을 사칭해 출석을 요구하거나, 대법원 대표번호를 내세운 스미싱도 있었다. 앞으로도 어떤 변종 스미싱이 등장할지 알 수 없다.

경찰청이 새로운 기법의 스미싱을 감지할 때마다 발 빠르게 ‘스미싱 주의보’를 발령하지만, 초기 피해까지 막기는 어렵다.

실제로 10월 16일 경찰에 붙잡힌 일당은 스미싱과 파밍(pharming) 등으로 거액을 챙긴 것으로 드러났다. 서울지방경찰청 사이버범죄수사대는 악성코드가 포함된 가짜 경찰 출석요구서 등을 대량 발송한 뒤 감염된 컴퓨터에서 파악한 금융 정보로 거액을 챙긴 혐의로 이모(36) 씨 등 2명을 구속했다. 경찰에 따르면 이씨 등은 지난해 12월부터 클릭할 경우 악성 프로그램이 자동으로 설치되는 e메일 3만여 건을 발송한 뒤 감염된 컴퓨터에 저장된 금융 정보로 돈을 인출하는 파밍 수법으로 4억 원 상당을 챙겼다. 또 모바일 청첩장을 이용한 스미싱으로 3400여만 원을 가로챈 혐의도 받고 있다. 당시에도 모바일 청첩장 스미싱 경보가 발령됐지만, 초기 피해는 막지 못했다.

스미싱 피해를 피하는 가장 좋은 방법은 의심스러운 문자메시지에 첨부된 링크 주소를 클릭하지 않는 것이다. 출처가 불분명한 파일 역시 스마트폰에 저장하거나 설치하지 않는 것이 좋다. 하지만 스미싱이 두려워 문자메시지에 첨부된 주소를 무조건 클릭하지 않을 수도 없다.

가장 좋은 방법은 소액결제를 원천적으로 차단하는 등의 예방조치다. 각 이동통신사 고객센터 또는 홈페이지에서 소액결제를 차단하거나 소액결제 금액을 제한할 수 있다. 또 스마트폰용 백신프로그램을 설치하고, 주기적으로 업데이트해 악성코드 설치를 차단하는 조치도 필요하다. 백신프로그램은 스미싱뿐 아니라 다양한 해킹으로부터 스마트폰을 보호해주기 때문에 필수로 설치하는 것이 좋다. 앱 설치를 유도하는 문자메시지를 받더라도 링크 주소를 클릭하기보다 각 이동통신사 앱스토어 등 공인된 오픈마켓을 통해 설치하는 것이 바람직하다.

스미싱 탐지 ‘안전한 문자’ 앱 배포

예방 조치에도 스미싱 피해를 입었을 경우에는 최대한 빨리 피해구제를 신청해야 한다. 경찰서에 스미싱 피해 내용을 신고하는 것이 최우선이다. 경찰서에서 ‘사건사고 사실 확인원’을 발급받고, 이를 이동통신사, 게임사, 결제대행사 등 관련 업체에 제출하면 결제 청구를 보류하거나 취소할 수 있다. 경우에 따라서는 이미 결제된 피해액도 돌려받을 수 있다.

스미싱을 탐지하는 앱도 등장했다. 안랩은 ‘안전한 문자’ 앱을 개발해 구글플레이를 통해 무료로 배포했다. ‘안전한 문자’ 앱은 악성 인터넷 주소가 포함된 스미싱 문자메시지를 탐지하는 것은 물론, 출처를 알 수 없는 소스의 허용 여부를 설정할 수 있다. 또 인터넷 주소를 통해 브라우저를 실행하면 실시간 감지 기능이 작동한다. 실시간 감지는 문자메시지뿐 아니라 페이스북, 트위터, 카카오톡 등 스마트폰 내 다양한 앱에도 적용된다.

‘안전한 문자’ 앱을 사용하면 스미싱 의심 문자메시지가 도착할 경우 스마트폰 상단에 있는 상태 확인 바의 아이콘이 초록색에서 경고를 뜻하는 노란색으로 바뀐다. 안랩 측은 “스미싱 피해를 최소화해 사회에 공헌하고자 ‘안전한 문자’ 앱을 무료 배포했다”고 밝혔다.

범정부 차원에서 근본적인 스미싱 피해 방지를 위한 대책 마련에도 착수했다. 최문기 미래창조과학부 장관은 10월 14일 미래창조과학부 국정감사에서 “미래창조과학부에서 스미싱 피해 대책을 만들고 있다”면서 “기술적으로 어떻게 막느냐에 중점을 두고, 금융 부문은 금융위원회와, 범인 색출은 경찰청과 협조하고 있다”고 말했다.