청첩장, 부고인 척…교묘해진 문자 사기, 구분할 땐 이렇게![이럴땐 이렇게!]

경찰청에 따르면 지난해 12월 전화금융사기(보이스피싱)로 인한 피해액이 561억 원에 달했다고 합니다. 사회적으로 보이스피싱에 대한 경각심이 커짐에도 피해가 끊이지 않는 건 갈수록 수법이 교묘해지고 있는 탓입니다.

특히 최근에는 전화로 이뤄지는 보이스피싱뿐만 아니라 문자 메시지를 이용하는 스미싱(Smishing, SMS+Phishing, 사기 행각에 악용되는 문자 메시지)도 활개를 칩니다. 스미싱은 주로 부고나 청첩장, 택배 송장 확인, 각종 공공기관 및 금융기관 등을 사칭하며 악성 앱 설치로 연결되는 인터넷 주소(URL) 클릭을 유도합니다.

이런 악성 앱에 감염된 스마트폰은, 사기범이 마음대로 주무를 수 있는 ‘좀비폰’이 됩니다. 개인정보나 금융 정보 탈취 등의 큰 피해로 이어지니 주의해야 합니다.

따라서 평소 확인되지 않은 번호로 오는 문자, 정체불명의 URL이 담긴 문자가 온다면 ‘혹시 스미싱은 아닐까’ 의심하는 태도가 필요합니다. 아래 소개하는 것과 같은 대표적인 스미싱 유형과 특징을 숙지하는 것도 도움이 됩니다.

부고, 청첩장

부고와 청첩장을 가장한 스미싱은 흔하게 접할 수 있는 유형입니다. 이런 문자는 사실 자세히 보면 부고나, 청첩장에 당연히 담겨야 할 필수적인 정보가 없는 경우가 대부분입니다.

예를 들어 정상적인 부고 문자라면 고인과 상주, 빈소, 발인 등 구체적 정보가 함께 담기기 마련입니다. 하지만 스미싱 문자의 경우 다짜고짜 ‘아버님이 별세하셨기에 알려드린다’며 URL 클릭을 유도합니다.

모바일 청첩장도 비슷합니다. 신랑신부 이름, 혼주 같은 기본적인 정보가 담겨 있지 않은 채 URL 클릭을 유도한다면 스미싱일 가능성이 매우 높습니다.

청첩장 미리보기 사진이 뜨는지 확인하는 것도 좋은 구분법입니다. 최근 청첩장 업체들은 스미싱으로 오해받는 걸 피하고자 문자나 카카오톡에서 실제 신랑신부 사진이 담긴 미리보기 화면이 함께 표시되도록 하는 추세기 때문입니다.

아무런 구체적 정보 없이 송년회, 동창회 등 모임에 초청한다며 URL을 첨부해 보내는 문자도 대부분 스미싱이니 주의해야 합니다.

택배 문자

택배를 사칭하는 스미싱은 특히 설, 추석처럼 선물 배송이 급증하는 시기에 기승을 부립니다. 보통 ‘배송지를 선택하라’거나, ‘주소 불명 혹은 불일치로 반송 처리되니 주소를 확인하라’며 URL 클릭을 유도합니다. 배송이 완료됐다며 사진을 확인하라는 유형도 있습니다. URL을 누르면 해당 택배사들 홈페이지를 흉내 낸 가짜 웹사이트로 연결해 악성 앱 설치를 유도합니다.

실제 택배사들도 부재 시 위탁 장소 선택이나, 실시간 배송 정보 안내를 위한 URL을 함께 보내곤 합니다. 이 때 택배사는 자사의 이름과 송장 번호 등이 그대로 포함돼 길이가 긴 URL을 씁니다. 반면, 스미싱은 무작위 알파벳 문자와 숫자로만 구성돼 길이가 짧은 URL을 주로 씁니다.

정상적인 문자와 달리 물품명, 운송장 번호 같은 필수 정보가 빠져있는 것도 스미싱 문자의 특징이니, 이런 정보가 기재되어 있는지도 잘 살펴보아야 합니다.

받은 문자가 이전부터 배송 문자를 계속 보낸 번호, 즉, 담당 택배 기사가 보낸 문자가 맞는지 확인하는 것도 좋은 방법입니다. 보통 한 지역은 한 택배 기사가 담당하는 게 일반적입니다. 이 경우 배송 문자를 보낸 번호는 휴대전화 번호입니다. 따라서 우리 동네 담당 택배기사가 아닌, 다른 번호나 생소한 번호로 온 문자라면 일단 스미싱을 의심해야 합니다.

아르바이트·직원 구인 문자

직원이나 아르바이트를 채용한다는 문자를 보내 유인하는 스미싱 유형도 있습니다. 고수익을 약속하며 사람들의 흥미를 끈 뒤, 상담이나 문의를 빌미로 카카오톡 채팅방으로 유인합니다. 누구나 이름을 들으면 알 법한 유명 기업을 사칭하기도 합니다.

정상적인 기업이 직원을 구한다며 불특정 다수에게 문자를 보내는 경우는 없으니, 이런 문자를 받았을 때 절대 대응하지 말고 무시해야 합니다. 자칫 잘못하면 대포통장 개설에 악용되거나 사기 일당의 수금책이 되어 범죄자로 전락할 수 있습니다.

각종 기관 사칭

매해 연말정산이나 부가가치세 신고 기간에 국세청 등을 사칭하는 스미싱이 등장합니다. 이외에도 도로교통공단을 사칭해 미납 고속도로 통행료, 과태료를 확인하라거나 국민연금공단을 사칭해 수급 자격 인정 통지서라며 악성 앱 설치 주소를 보내는 경우도 보고됩니다.

이처럼 기관을 칭하며 오는 문자라면 해당 기관의 공식 번호나 공식 카카오톡 계정으로 온 게 맞는지 확인하도록 합시다. 개인번호나 인터넷 전화 번호, 001·003·006·007·009 등으로 시작하는 국제전화번호로 온 문자, 정체불명의 이용자가 보낸 카카오톡이라면 스미싱으로 보면 됩니다.

스마트폰 보안 설정으로 악성앱 설치 차단 해야

유형을 미리 알고 주의하는 것만으로는 한계가 있습니다. 지금까지보다 더 그럴싸한, 새로운 스미싱 사례가 언제 등장해도 이상하지 않기 때문입니다. 그래서 필요한 게 스마트폰 보안 설정 등의 예방 조치입니다. 스미싱은 주로 갤럭시를 비롯한 안드로이드 스마트폰을 노립니다. 공식 앱스토어를 통해서만 앱을 설치할 수 있는 아이폰과 달리, 안드로이드 스마트폰은 출처 불명의 앱도 설치 가능한 까닭입니다. 이 때문에 스미싱에 의한 악성 앱 피해를 예방하려면 ‘출처를 알 수 없는 앱 설치’를 차단해 두는 게 좋습니다.

대표적으로 삼성 갤럭시에는 출처를 알 수 없는 앱 설치를 비롯한 각종 보안 위험을 알아서 차단해 주는 ‘보안 위험 자동 차단’ 기능이 있으니 이를 반드시 켜두고 사용하길 권합니다. 설정 화면에서 ‘보안 및 개인정보 보호’에서 ‘보안 위험 자동 차단’을 ‘사용 중’으로 바꾸면 됩니다.

글 / IT동아 권택경 (tk@itdonga.com)