더욱 교묘해진 스마트폰 사기 메시지 - 스미싱

스마트폰 사용자라면 최근 들어 인터넷 웹 사이트 링크가 포함된 정체불명의 문자메시지를 본 적이 있으리라. 이는 스미싱(Smishing)이라는 휴대폰 신종 사기 수법으로, 무심코 확인한 순간 악성 앱(애플리케이션)을 감염시켜 사용자의 휴대폰을 해킹, 제어한다. 즉 휴대폰 금전 거래 정보를 빼내어 이를 악용해 사용자에게 금전적 피해를 주는 것이다. 특히 이들은 공공기관이나 금융기관 등을 사칭하기에 일반 사용자로서 진위를 파악하기가 어렵다.

스미싱은 휴대폰단문메시지를 뜻하는 'SMS'와 개인정보를 불법 취득하는 '피싱(phising, private data+fishing)'을 합친 단어로, 스마트폰이 대중화되기 시작한 최근에는 심각한 사회문제로 대두됐다. 이에 사용자는 물론 이동통신사, 금융업계 등은 스미싱 피해로 인해 골머리를 앓고 있다. 스미싱 피해를 예방할 보안 기술이 개발돼도 이를 우회하는 변종 스미핑 기법이 등장한다. 더구나 스마트폰에는 금융 거래를 위한 공인인증서 정보도 들어있어 2차 피해도 발생할 수 있다.

스마트폰 스미싱 피해 사례는 2008년 급증하기 시작하여 지난 해에는 7,000여 건에 달하는 피해가 접수됐다. 사이버대응센터가 발표한 자료에 따르면 최근까지 약 4,000여 건이 신고됐고, 피해액은 11억이 넘는 것으로 나타났다.

스미싱, 어떻게 진행되나

스미싱 피해가 급증하는 건 피해 과정을 사용자가 전혀 알아채지 못하기 때문이기도 하다. 일반적인 홍보 문자로 인식해 터치하는 순간부터 내부적으로 진행돼 전혀 노출되지 않는다.

1) 불특정 피해자를 대상으로 웹 사이트 주소가 포함된 문자메시지가 발송된다. 해당 주소에는 스마트폰 해킹앱 설치 파일 주소가 들어 있다. 일반적으로 할인, 무료 쿠폰, 모바일 상품권 등으로 사용자를 현혹한다.

2) 이 주소 링크를 터치하면 해킹앱이 스마트폰으로 다운로드되며 이후 설치 과정을 시작한다. 대개 일반 사용자는 별 의심 없이 앱 설치를 완료한다.

3) 해킹앱 설치가 완료되면 휴대폰 기본 정보를 비롯해, 소액결제 시 사용자에게 발송되는 인증번호까지 가해자에게 전송된다.

4) 이제 가해자는 해킹한 피해자의 스마트폰 정보로 물품이나 사이버머니를 마음껏 구매한다.

5) 소액결제 대금이 피해자의 요금청구서로 청구된다.

기존 휴대폰의 스미싱 소액결제 피해는 주로 휴대폰 사용에 익숙하지 않은 노년층에서 발생했다면, 스마트폰 스미싱 피해는 디지털 기기를 잘 다루는 20~30대 층에서 발생한다. 온라인 쇼핑이나 할인 쿠폰 사용, 이벤트 참여 등이 가장 활발한 연령층이기 때문이다.

스미싱 해킹, 어떤 유형이 있나?

스미싱 유도 문자메시지는 몇 가지 유형으로 배포되고 있으니, 유사한 유형의 메시지를 받았다면 주의 깊게 처리해야 한다.

휴대폰 소액결제 확인형: 피해자에게 소액결제가 완료됐다는 메시지를 보내고 이를 확인하기 위해 피해자가 발신번호로 전화를 걸면, 결제 취소를 위한 승인번호를 피해자에게 다시 보낸다. 이를 이용해 피해자의 휴대폰으로 실제 소액절제를 진행하는 유형이다. 이는 스마트폰을 비롯 일반 휴대폰에도 적용된다.
프렌차이즈 업체 쿠폰 발송형: 유명 프렌차이즈 업체를 사칭하여 할인 쿠폰, 이벤트 쿠폰, 기프티콘 등을 링크 주소와 함께 메시지로 발송한다. 피해자는 이들 혜택을 받기 위해 링크 주소를 터치하며 이후 해킹앱이 스마트폰에 설치된다.
금융기관 사칭 개인정보 확인형: 주요 금융기관을 사칭하여 개인정보 유출 등의 경고/주의 메시지를 보내고 금융사기 웹사이트에 접속하도록 유도한다. 이 사이트에서는 계좌번호, 비밀번호, 보안카드 번호 등을 요청한다.
국가재난 전달형: '연평도 포격사건, '천안함 침몰사건' 등 국가 비상사태나 재난 등을 소제로, 사진이나 동영상 시청을 유도하는 링크 주소를 메시지로 보낸다. 이 역시 링크 주소를 클릭하면 해킹앱이 스마트폰에 설치되고 일정 금액이 소액결제로 빠져 나간다.

스미싱 피해 조치는 어떻게 하나?

스미싱 피해가 확산되자 피해자를 구제하기 위한 다양한 방안이 시행됐다. 지난 3월부터 이동통신3사는, 스미싱 피해자가 경찰로부터 '사건사고사실확인원'을 발급 받아 이를 통신사에 제출하면 결제 청구를 보류하거나 취소할 수 있도록 했다. 이미 결제된 경우라도 피해액을 돌려 받을 수도 있다. KT와 LG유플러스는 사건사고사실확인원만 제출하면 스미싱 관련 피해라면 모두 구제해주기로 합의했다.

스미싱 피해가 확인되면 즉시 가까운 경찰서에 이를 신고하고 사건사고사실확인원을 발급 받아야 한다. 또는 아래의 스미싱 피해 신고센터에 신고하여 도움을 받을 수 있다. 사건사고사실확인원을 해당 이동통신사 고객센터나 지점, 대리점 등에 피해 신고와 함께 제출한다.

확인원을 받은 통신사는 모바일 소액결제 업체, 결제대상 업체(게임, 콘텐츠 제공자) 등과 함께 피해자의 결제 사실을 확인한 다음 요금청구 보류 또는 취소 결정을 내린다.

스미싱 피해 신고센터

미래창조과학부 전자민원센터: www.ekcc.go.kr
휴대폰/AS결제 중재센터: www.spayment.org
공정거래위원회: www.ftc.go.kr
소액결제피해신고센터: www.ottl.co.kr
경찰청사이버테러대응센터: www.ctrc.go.kr

스미싱 피해, 어떻게 예방하나?

스미싱 피해를 예방하는 방법은 다양하게 제시되고 있으나, 무엇보다 사용자의 관심과 주의가 가장 필요하다. 스미싱이 어떤 형태로 피해를 유발하는지 인지하고 송수신되는 문자메시지를 주의 깊게 살펴 봐야 한다. 다음은 스미싱 피해 예방 방법이다.

출처가 불분명한 문자메시지가 수신됐을 경우 주소 링크를 절대 터치하지 않는다.
스마트폰용 백신프로그램을 설치해 주기적으로 상태를 점검한다.
'무료', '쿠폰', '공짜', '할인' 등의 단어를 스팸문구로 등록한다.
공식적인 앱 마켓이 아닌 곳으로부터 앱을 설치하지 않는다.
특정 앱 설치 화면이 나타나면 반드시 정보를 확인 후 설치를 진행한다.
통신사를 통해 소액결제를 아예 차단하거나 결제금액을 제한한다.
안드로이드 스마트폰의 경우 '설정' 화면의 '알 수 없는 출처의 앱 설치' 옵션을 꺼 둔다.
앱 설치 목록에서 의심스러운 앱은 즉시 삭제한다.
스미싱 피해 사례를 확인하고, 주요 사칭 기관이나 업체의 이름을 기억한다.

스미싱 사칭 주요 기관/업체

공공기관: 경찰청(경찰서), 우정사업본부(우체국), 대검찰청, 국회사무직, 문화체육관광부 등
금융기관: 신협중앙회, 농협, 신한은행, 국민은행 등

한편, 미래창조과학부는 오는 9월부터 이동통신 가입자들의 소액결제 자동 가입을 허용하는 현행 제도를 폐지하고, 가입자들이 명시적으로 동의한 경우(문서에 동의한다고 기록을 남긴 경우)에 한해 소액결제 서비스를 제공하겠다고 17일 밝혔다. 때문에 스미싱으로 피해를 입는 사례가 상당히 줄어들 전망이다. 소 잃고 외양간 고치는 감이 없잖아 있지만, 사용자들의 피해가 더는 발생하지 않도록 튼튼하게 고쳐야 하겠다.

글 / IT동아 이문규 (munch@itdonga.com)