일러스트=정다운

<이미지를 클릭하시면 크게 보실 수 있습니다>

“스미싱 탐지 건수는 2023년 50만건이었다가 지난해 210만건을 넘어서며 4배를 초과했습니다.”

김은성 한국인터넷진흥원(KISA) 스미싱대응팀장은 지난 27일 “스미싱 차단 건수가 지난해 1만9000건을 넘어서며 2023년 2700건의 7배 이상을 기록하고 있다”며 “선제적 대응으로 미끼 문자 노출을 방지하고 피싱 공격 발생을 억제하겠다”면서 이같이 밝혔다. 스미싱이란 문자메시지(SMS)를 통한 피싱이다. KISA는 이날 최근 진화하는 스미싱 및 공급망 위협 현황과 대응방안을 소개했다.

김 팀장은 기본적인 피싱 공격 기법인 ‘미끼 문자’가 시대 흐름에 맞게 변화하고 있다고 설명했다. 그는 “과거에는 사칭 링크를 포함한 후 문자를 통해 발신 번호를 등록해 대량으로 문자를 보내는 시스템이었다”며 “그런데 최근에는 전화로 정상 원격제어 애플리케이션(앱)을 설치하도록 유도 후 악성앱을 설치하거나 QR코드를 통해 악성앱을 설치하도록 유도하고 있다”고 설명했다.

이에 KISA는 선제적 대응을 통해 이 같은 범죄를 막겠다는 구상이다. 김 팀장은 “지난 1월 31일부터 ‘큐싱확인서비스’를 개시했는데, 카카오톡에서 이 서비스에 들어가 QR코드를 스캔하면 정상 및 악성 여부를 확인할 수 있다”고 말했다. 이어 “악성 문자를 막기 위해서 ‘X-ray 시스템’을 개발 중”이라며 “기업메시징 서비스 제공 사업자가 요청받은 대량 발송 문자 내 포함된 링크에 한해 악성 여부를 분석하고 악성으로 판정 시 문자를 발송 차단하도록 할 것”이라고 덧붙였다.

아울러 KISA는 고도되는 소프트웨어(SW) 공급망 위험에 대응하기 위해 소프트웨어자재명세서(SBOM) 보안모델 구축을 지원한다. SBOM은 제조업의 자재명세서 개념을 SW에 적용한 것을 말한다. SBOM은 SW의 구성요소를 식별하고 관리하는 데 활용된다. 이번 사업은 SW 공급망에 속해있는 개발·제조·공급·운영 등 기업·기관, SI기업 등이 개발 협력사와 다양한 형태의 컨소시엄을 구성해 참여해야 한다. KISA는 총 8개 과제를 선정해 과제당 최대 3억7500만원을 지원할 예정이다.

이동화 KISA 공급망안전정책팀장은 “최근 증가하는 SW 공급망 위협에 미국·유럽연합(EU) 등 주요국의 SW 공급망 보안 강화 조치로 이어지고 있고, 각국에서는 SBOM 제출 혹은 관리를 의무화하는 정책·제도 등이 구현되고 있어 국내기업들의 수출장벽으로 작용할 우려도 커지는 상황”이라며 “이에 KISA는 먼저 디지털제품·서비스를 개발·공급·운영하는 기업을 대상으로 시범사업을 진행하게 됐다”고 말했다.

김수정 기자(revise@chosunbiz.com)

<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>