서울 잠실에서 거주하는 직장인 이 모(33)씨는 스마트폰 문자 메시지를 잘 못 눌러 큰 봉변을 당했다. 평소 온라인 쇼핑을 자주 즐기던 이 씨는 다음날 ‘X마켓 결제가 완료됐습니다. 택배 2~3일내 배송예정입니다. 배송조회 http://konems.XXXX.co:81’라는 문자 메시지가 본인 스마트폰으로 발송되자 아무런 의심 없이 문자의 링크를 눌렀던 것. 이는 최근 활개치던 스미싱 문자 메시지였고, 사이트에 접속하자마자 앱이 깔리면서 27만원이 결제됐다.

[아이티투데이 이호연 기자] 스마트폰 보급률이 높아지자 이로 인한 부작용으로 스미싱이 활개를 치고 있다. 스미싱은 문자메시지(SMS)와 피싱(Phishing)의 합성어다. 스미싱은 보통 사용자가 문자 메시지에 링크된 인터넷 주소를 클릭하면 악성코드가 스마트폰으로 심어지면서, 소액결제 피해를 발생하거나 개인정보가 해커의 서버로 유출되는 방식으로 이뤄진다.

한국인터넷진흥원(KISA)에 따르면 지난해 말 기준으로 접수된 스미싱 신종 악성앱은 총2278건으로 2012년 말 15건에 비해 무려 150배 이상이나 증가했다. 최근 화제가 되고 있는 금융사를 빙자한 경우는 올해 1월 한 달에만 3269건으로 집계됐다.

스미싱의 특징은 마치 아는 사람이 보낸 것처럼 가장해 스마트폰 사용자가 인터넷 주소 링크를 클릭하도록 만드는 것이다. 수법도 날로 진화돼가고 있다. 초기에는 할인 쿠폰 등 혜택을 제공하는 형태였다면 최근에는 돌잔치, 청첩장, 쇼핑몰, 법원 출두, 금융 피해, 교통위반 결제 등으로 개인정보와 결합해 지능화돼가고 있다.

각별한 주의를 기울이지 않으면 스미싱을 알고 있다 하더라도 무심코 눌러 요금 폭탄은 물론, 소중한 개인 정보까지 유출되는 피해가 발생할 수 있다. 스미싱 유형과 피해 증상부터 예방 및 대처법까지 자세히 알아보자.

◇‘헉’ 소리 나는 스미싱 유형
지난 한 해 동안 스미싱 수법은 혀를 내두를 정도로 고도화돼왔다. 지난해 1~2월에는 할인쿠폰 등을 미끼로 유명 제과점이나 프랜차이즈 브랜드 등을 사칭한 단순한 내용의 스미싱이 주를 이뤘다. 3~4월에는 대형 쇼핑몰, 음식점 등을 사칭 “일정 금액이 결제 됐으니 확인바란다”며 주소 링크를 클릭하게 하는 방식이 활개를 쳤다.

5월부터는 보다 지능적으로 스미싱 수법이 진화했다. 사적인 문자 내용을 통해 링크를 유도하게끔 만들기 시작했다. 모바일 돌잔치나 청첩장을 사칭한 스미싱이 등장하며 피해 사례가 잇따라 발생했다. 택배 배송 조회와 데이터 사용 요금 초과 확인을 위한 링크 클릭도 많은 피해자를 양산시켰다.

▲ 출처 = KISA

특히, 9월에는 법원 및 경찰 등의 공공기관을 사칭하는 스미싱까지 등장했다. 소송에 연류됐거나 법원 등기 전달 내용 등을 확인하라는 내용이 주를 이뤘다. 협박이나 불안감을 조성해 스마트폰 사용자가 링크를 누를 수 밖에 없게끔 유도하는 것이다.

실제 KISA의 2013년 월별 스미싱 악성앱 신고 현황을 보면 9월은 424건으로 최다 악성앱 신고의 달로 집계됐다. 11월~12월에는 크리스마스 및 연말연시를 맞아 지인을 가장한 안부인사나 선물 구입 및 배송을 위장한 스미싱이 대거 등장했다.

특히, 스미싱은 사람들의 관심사를 반영해 새로운 내용을 지속적으로 유포하는 것이 특징이다. 지난해 12월에는 북한의 2인자 장성택 숙청이 이슈로 떠오르자 ‘장성택 처형 장면 보기’라는 사기성 문자 메시지가 발송된 바 있다. 동영상 주소 클릭시 25만원이 결제되는 수법이다.

◇스미싱 왜 위험하냐고?
스미싱이 위험한 이유는 요금 피해는 물론, 개인 정보가 유출돼 막대한 2차 피해사례가 발생할 수 있기 때문이다. 피해 증상은 크게 두가지다. 즉각적으로 스마트폰에서 금액이 결제돼 다음달 고지서에 찍히는 방식과, 금액 피해는 없었지만 알고보니 금융정보를 포함해 폰에 저장된 개인 정보가 모조리 털리는 경우다. 

우선, 문자 탈취의 경우다. 나에게 수신되는 문자를 스미싱 악성 앱이 심어놓은 코드가 가로채서 해커의 서버로 전송시키는 방법이다. 주로 소액결제할 때의 인증문자를 가로채 의도치 않은 소액 결제 비용이 청구된다.

▲ 출처 = KISA

내 휴대폰이 스미싱 문자를 전송하기 위한 도구로 사용돼 주소록에 있는 지인에게 발송되는 ‘문자 임의 전송’ 형태도 있다. 지난해 등장했던 ‘카톡 업데이트 사칭’ 문자가 대표적인 사례다. 주소록에 등록돼있는 모든 번호로 해당 스미싱 문자가 전송되기 때문에 대량의 문자 요금이 발생할 수 있다.

다음은 개인 정보를 탈취하는 경우다. 요금 피해 한 번으로만 끝나면 다행이지만, 휴대폰에 저장된 갖가지 개인 정보를 탈취해 해커에게 전송하는 형태는 2차 피해사례가 발생할 수 있으므로 더더욱 위험하다.

특히 휴대폰에 저장돼있는 보안카드, 공인인증서 정보를 탈취하는 방식이다. 공인증서를 복사한 뒤 인터넷 뱅킹 등으로 돈을 몰래 빼가거나 가짜 금융 앱을 설치하게 한 뒤, 보안카드 번호나 계좌 비밀번호를 입력하는 방식이다. 금융 기관은 절대로 개인의 금융 정보를 요구하지 않는다는 것을 다시 한 번 명심하길 바란다. 이 외 악성앱을 통해 내 스마트폰이 해커 마음대로 조작 가능한 좀비폰이 되는 경우도 있다.

KISA관계자는 “스미싱 수법이 날로 고도화되는 만큼, 문자 메시지에 포함된 의심스런 링크는 클릭하지 말고 국번없이 118로 전화해 신고해 달라”며 “지인 번호나 공공기관 번호로 발송번호가 찍혀도 반드시 별도 확인 절차를 거칠 필요가 있다”고 신신당부했다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지