스미싱 문자 [사진 출처 = 연합뉴스]

<이미지를 클릭하시면 크게 보실 수 있습니다>

“[Web발신] 급등주 수익예상 ○○%, ○○% 무료 받기 https:XXX.XXX”

홍보 문자를 사칭한 스미싱 메시지가 급증하고 있다. 대표적인 것이 리딩방 스팸이다.

사칭의 종류는 유사투자자문업 뿐이 아니다. 온라인 사기꾼은 ‘해외 직구’족이 늘어나면서 관세청을 사칭하고, 가짜 택배 보관 문자를 발송한다. 또 스팸 피해가 늘어나자 계좌를 개설하지 않았으면 확인하고 신고하라고 역으로 은행을 위장한다. 2010년대 초반에 범람한 대리운전 안내와 같은 단순 홍보성 문자 메시지와는 차원이 달라졌다.

이들 스미싱에는 한 가지 공통점이 있다. 바로 특정 웹사이트로 연결되는 URL(Uniform Resource Locator) 주소가 포함돼 있다는 사실이다. 스미싱 문자 발송→링크 클릭 유도→가짜 사이트로 연결시키는 식이다. 특하 가짜 사이트는 매우 정교하게 만들어졌다. 정상적으로 보이지만, 개인정보나 금품 탈취를 목적으로 하는 것이 다르다. 때론 링크를 클릭하는 것만으로 APK 파일(안드로이드 운영체제용 앱을 담고 있는 패키지 파일)이 자동으로 내려받아지고 악성앱이 깔린다.

악성코드가 포함돼 있어 스마트폰은 먹통이 되고, 스캠(Scam) 조직이 원격 조작할 수 있는 ‘좀비화’가 될 가능성이 있다. 예를 들어 ‘급등주 수익예상’ 문자에 포함된 URL 주소를 클릭할 경우 “먼저 보안앱을 깔라”고 안내를 받을 수 있다.

<이미지를 클릭하시면 크게 보실 수 있습니다>

다크웹 탐지 기업인 에스투더블유(S2W)의 오재학 다크웹 분석가는 “피해자들이 아이디와 패스워드를 입력하도록 유도하기 위해서 은행 사이트마저 똑같이 만든다”면서 “일부 온라인 사기꾼은 전화 금융사기 방지앱 마저 위조한다”고 말했다. ‘보안을 위해 보이스 피싱 방지앱을 내려받으라’고 권유하는 식이다. 하지만 가짜 보안 앱을 내려받으면, 진짜 보안 앱이 삭제당하고 권한을 송두리째 빼앗긴다. 사기꾼들이 사용자 스마트폰을 장악하고 데이터를 암호화한 다음 정상적인 작동을 위한 암호키를 대가로 금품을 요구하는 랜섬웨어(Ransomware)를 당할 수 있다.

국가사이버안보센터에 따르면, 국내 금융사뿐 아니라 해외 금융사·거래소까지 위장한 사이트만 지금껏 59건이 발견됐다. 위장앱은 상호와 이름을 슬쩍 바꿔넣는 식으로 사람들을 현혹한다. 유안타T, KB플러스, SH알파, 하나INT가 대표적이다. 심지어 이름과 로고도 꼭 같이 ○○○뱅크 앱을 만든 경우도 발견됐다.

홍보성 스팸 문자가 폭발적으로 급증하면서, 덩달아 스미싱까지 함께 늘고 있다. 방송통신위원회와 한국인터넷진흥원에 따르면, 스팸 음성·문자 건수는 2019년 3112만건에서 지난해 3억268만건으로 9.7배 폭증했다. 더불어민주당 황정아 의원이 방통위로부터 받은 올 1~5월 건수는 1억6862만건에 달한다. 월 평균 3372만건으로 연내 4억건 돌파가 예상된다.

스팸 문자가 폭증한 원인은 다양하다. 우선 휴대전화 단말기 스팸 신고 기능이 개선돼 통계에 잡히는 건수가 늘었다는 것이 방통위의 설명이다. 또 정식 투자자문업자만 카카오톡 오픈채팅방이나 텔레그램 등을 통한 ‘리딩방’을 운영할 수 있는 ‘자본시장법 개정안’이 8월 시행될 예정이다. 이때문에 막바지 리딩방 호객용 스팸이 기승을 부리고 있다는 분석이다. 하지만 가장 큰 원인은 대량 SMS 서비스를 대행하는 문자재판매사업자 업체들이 해킹을 당했기 때문인 것으로 풀이된다.

방통위는 올 6월부터 ‘대량문자전송사업자 전송자격인증제 자율운영 가이드라인’을 시행하고 있다. 문자 관련 사업자는 크게 세 종류다. 이동통신사업자, 그리고 이통사의 시스템을 활용해 문자메시지를 발송하는 문자중계사업자가 있다. 여기에 문자중계사업자의 시스템을 활용해 문자메시지를 발송하는 문자재판매사업자가 또 있다. 현재 전국에 1184개에 달하는 문자재판매사업자가 인가를 받은 상태다. 한국인터넷진흥원 조사에 따르면 문자재판매사업자 일부 서버가 해킹을 당한 것으로 알려졌다. 하청에 재하청을 주다보니 관리 감독이 안 됐다는 지적이 나온다.

피해는 고스란히 사용자 몫이다. 최근 스팸 문자는 상당수가 스미싱이다. 방통위와 한국인터넷진흥원에 따르면, 지난해 하반기 기준으로 스팸 문자는 도박이 47.4%로 가장 큰 비중을 차지했다. 이어 불법 대출 20.7%, 금융 11.5%, 성인 콘텐츠 6.5% 순이었다. 정상적인 홍보 문자가 아니다.

문제는 갈수록 공공기관을 사칭하는 건수가 늘고 있다는 점이다. 경찰청에 따르면 기관사칭형 보이스피싱 건수는 지난해 1만1314건으로 전년 8390건 대비 34% 증가했다. 피해액 역시 같은 기간 2077억원에서 2364억원으로, 검거건수는 4103건에서 7352건으로 각각 늘어났다.

온라인 사기꾼은 음성·문자·앱을 가리지 않는다. 대표적인 피해 업종이 온라인 공유 숙박이다. 해외 여행객이 늘면서 진짜 숙박 시설을 위장해 돈을 받고 잠적하는 일이 늘고 있다. 부킹닷컴의 안전담당자인 마니 윌킹은 “AI(인공지능)로 인해 여행 사기가 급증하고 있다”면서 “지난 1년 반 동안 최대 900% 늘어났다”고 말했다. 사기꾼은 온라인 숙박 공유 시설에 가짜 숙박 시설 이미지를 올리고 사람을 끌어모은다. 이어 신청한 이들을 상대로 가짜 예약 링크가 포함된 피싱 이메일을 발송한다. 해당 사이트를 클릭하면 가짜 웹사이트로 이어지게 만들어 그 사이트에서 결제받아 잠적하는 방식이다.

또 소셜미디어에선 주로 로맨스 스캠과 리딩방 사기가 횡행한다. 때론 유명인을 사칭한다. 한 여성은 자신을 일론 머스크라고 소개한 사기꾼에 당해 7000만원을 뜯겼다고 올 4월 KBS 추적 60분이 보도한 바 있다. 가짜 머스크는 작년 7월 SNS를 통해 피해자에게 친구 요청을 했다. 처음에는 가짜라고 판단했다. 하지만 출근 사진과 신분증을 보여주면서 채팅하자 서서히 마음이 바뀌었다. 결정적으로 그는 영상 통화를 통해 모습을 드러냈고, 팬들에게 새 투자 기회를 주고 싶다며 계좌번호를 알려줬다. AI 동영상으로 만든 딥페이크에 당한 것이다. 로맨스 스캠은 주로 여성과 젊은층이 당했다. 고려대가 발표한 ‘로맨스 스캠 현황 및 대응방안’에 따르면, 작년 1~6월 사이버범죄 신고시스템에는 총 280건의 신고가 접수됐는데 이 가운데 여성이 71.4%를 차지했다. 연령으로는 20대 이하가 52.1%로 압도적으로 높았다.



[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]