<이미지를 클릭하시면 크게 보실 수 있습니다>

[서울=뉴시스]윤현성 기자 = #20대 취업준비생 A씨는 최근 이력서가 서류 전형에 합격했다는 소식을 받았다. 담당자라는 사람은 SNS를 통해 연락해 화상으로 면접을 진행한다고 했고, 보안이 강화된 앱이라며 화상회의 앱 설치 URL을 보내왔다. 화상 면접 이후 담당자는 면접비 지급을 위한 서류 작성을 요청하며 본인 확인을 위한 주민등록증 복사본을 요구했다. A씨가 서류를 제출한 이후 A씨 명의로 핸드폰 개설, 예금 출금, 비대면 대출이 이뤄졌고 그대로 담당자와의 연락은 끊겼다.

최근 한국인터넷진흥원(KISA)에 의해 파악된 스미싱(SMS+피싱) 피해 사례다. 보안업계에 따르면 연말 들어 대학생들이 취업준비를 마무리할 시기에 접어들며 취준생의 심리를 압박하는 전략의 '신종 스미싱'이 나타나고 있다.

"첨부URL? 그런 거 안 통하잖아"…메신저 대화방으로 유인

KISA 통계를 살펴보면 최근 스미싱 수법이 보다 고도화되고 있는 가운데 올해 스미싱 탐지 건수가 급격히 증가 추세를 보이고 있다. 스미싱 탐지 건수는 2023년 한 해 동안 50만3300건이었는데, 올해는 이미 10월까지 150만8879건이 탐지되며 전년도의 3배를 넘어섰다. 특히 지난해부터 공공기관이나 지인을 사칭하는 사례가 급증하고 있는데, 올해 탐지 건수 중 공공기관 사칭 스미싱만 96만123건에 달했다.

가장 흔한 스미싱 기법은 벌금청구서 발급, 콘서트티켓 구매 안내 등을 사칭한 '미끼문자'에 악성 앱으로 연결되는 URL(인터넷주소)를 넣어 클릭을 유도하는 것이다. 이 기법의 경우 이미 KISA나 정부·기업 등에서 악성 URL을 탐지해 차단하는 것이 비교적 쉽다.

하지만 최근에는 스미싱 수법이 바뀌어가고 있다. 미끼문자에 URL을 넣는 것이 아니라 카카오톡·라인 등 메신저 대화방으로 타겟을 유인하는 식이다. 근래 '한번 만나요 ID: OOOO'과 같은 형태의 스미싱 문자가 기승을 부리는 것도 이 때문이다.

이 기법의 경우 피해자가 대화방에 들어오면 평범해보이는 대화를 진행해 공감대를 형성하고, 그 후에 최종적으로 보내려했던 악성 URL을 대화방에서 보내게 된다. 이렇게 개인 대화방을 통해 보내지는 URL은 정부·기업 등이 기술적으로 탐지하기가 훨씬 어렵다.

[서울=뉴시스] 낯뜨거운 내용을 담은 스팸문자가 무작위로 발송되고 있다.

<이미지를 클릭하시면 크게 보실 수 있습니다>

피해자가 URL에 들어가게 되면 악성앱(APK) 유포 서버를 통해 스마트폰에 악성 앱이 설치·실행될 수 있는데, 이렇게 되면 스미싱 공격자가 피해자 스마트폰을 사실상 완전히 지배할 수 있게 된다. 스마트폰에 담긴 신상정보·메신저 및 통화 내역·연락처 목록·사진첩 등에 모두 접근할 수 있고, 전화 감시 및 실시간 차단도 가능하다.

이렇게 피해자의 정보를 완전히 알아낸 뒤에는 '맞춤형'으로 피싱 공격을 시도할 수도 있다. 예컨대 보이스피싱을 단순히 '검찰입니다'라고 하는 게 아니라 'OOO씨죠? 검찰입니다. 최근 이런 일을 하셨던데, 관련해서 조사를 받으셔야 합니다'와 같은 식으로 더 교묘하게 진행할 수도 있다.

최근 나타나고 있는 취준생 대상 스미싱 등도 이처럼 피해자의 정보를 보다 구체적으로 파악한 뒤 '취업'이라는 키워드를 활용해 범죄를 저지를 가능성도 제기되고 있다.

피싱 악용 명의 '모든 번호' 차단한다

이처럼 스미싱이 보다 고도화되면서 KISA도 지난 5월부터 '국민피해대응단'을 설립해 스미싱·피싱 차단에 나서고 있다. 기본적으로 미끼문자의 원천 차단을 통한 노출 방지, 피싱공격 발생 억제, 취약계층에게도 안전한 스마트폰 환경 구축 등이 대응단의 기본 목표다.

보이스피싱의 경우 ▲번호 사칭 전화 및 문자 차단 서비스 ▲인터넷 대량문자 발송 시 번호 소유자 안내 서비스 ▲해외·인터넷 기반 문자·전화 발송 시 안내 문구 표기 ▲해외로밍 발신 문자 안내 제공 ▲발신번호 거짓표시 신고 및 발신지 확인 시스템 ▲문자 식별코드 삽입 ▲번호 사칭 해외 발신 전화 수신차단 등의 대책이 운영되고 있다.

해외에서 발송되거나 인터넷을 통해 대량 발신되는 문자에 [국제발신] [Web발신] [로밍발신] 등 문구를 넣어 피싱 여부를 쉽게 알게 해주는 것이 대표적이다. 전화의 경우에는 문구만 표시되는 게 아니라 통화 전 '국제전화입니다'라는 음성 안내까지 제공하고 있다. 국가·공공기관 사칭이 잦은 만큼 진짜 공공기관 메시지에는 '확인된 발신번호'라는 도용이 불가능한 이미지 안내도 제공된다.

보이스피싱범 1명의 명의로 최대 5개의 휴대전화 번호를 쓸 수 있는 만큼 하나의 번호가 피싱 악용 번호로 확인되면 그 명의로 사용되고 있는 전화번호·인터넷 회선을 한번에 이용정지하는 방안도 내년부터 추진된다.

[서울=뉴시스]이동연 KISA 국민피해대응단 단장이 지난 28일 서울 강남구에서 진행된 'KISA 이슈앤톡' 행사에서 국민피해대응단의 활동과 최근 스미싱 피해 사례 등에 대해 소개하고 있다. (사진=윤현성 기자)

<이미지를 클릭하시면 크게 보실 수 있습니다>

'스미싱 확인서비스' 운영…신종 수법 '큐싱' 대응책도 연중 마련

스미싱 대응 방안으로는 지난 3월부터 '스미싱 확인서비스'가 운영되고 있다. 문자·메신저·SNS 등에서 스미싱으로 확인되는 메시지가 왔을 경우 이를 복사해 스미싱 확인서비스에 붙여넣기 하면 악성 URL 여부를 확인해주는 형태다.

문자에 단순히 URL을 넣는 것이 아니라 개인 대화방에서 탐지가 어렵게 URL을 전달하는 만큼 개개인이 직접 탐지를 할 수 있도록 시스템을 구축한 셈이다. 지난 3월 스미싱 확인서비스를 시작한 이후 현재까지 약 22만3000명이 서비스에 가입한 것으로 집계됐다.

아울러 최근 등장한 신종 기법인 '큐싱(QR+스미싱)'에 대한 대책도 추가로 마련될 예정이다. 올해 들어 메시지 URL로 악성 앱을 유포하는 것이 아니라 공유킥보드·전단지 등에 가짜 QR 코드 스티커를 붙여 피싱사이트로 유도하는 피해 사례가 나타나고 있다.

국민피해대응단은 스미싱 확인서비스를 한층 개선해 스미싱 의심 QR코드를 휴대전화 카메라로 인식시키면 일반 URL처럼 악성 여부를 곧바로 분석해서 알려주는 '큐싱 확인서비스'도 이르면 12월 중 개시할 예정이다.

KISA 관계자는 "일상생활이 디지털로 급속히 전환되며 편리함 뿐만 아니라 디지털 위협과 범죄도 꾸준히 증가·지속되고 있다"며 "피싱 피해는 단순히 금전적·정신적 피해 뿐만 아니라 때때로 목숨까지 앗아가는 사고로 이어지기도 한다. 이런 피싱 범죄에 효과적으로 대응하기 위해서 국민피해대응단이 보다 효율적으로 국민 피해를 막아갈 것"이라고 전했다.

☞공감언론 뉴시스 hsyhs@newsis.com

▶ 네이버에서 뉴시스 구독하기
▶ K-Artprice, 유명 미술작품 가격 공개