‘미끼문자’ 스미싱 수법 기승
악성앱 설치돼, 개인정보 탈취
[헤럴드경제=박준규 기자] [부고장] 아버님께서 오늘 별세하셨기에 삼가 알려드립니다. 장례식장 주소 〈https://〉
휴대전화에 이런 부고문자가 들어왔다면 일단 의심해야 한다. 궁금한 마음에 무심코 인터넷 링크(URL)를 눌렀다간 속수무책으로 악성 어플리케이션(앱)이 설치되고 내 휴대전화의 모든 정보가 새어나갈 수 있어서다. 올해 들어 청첩장·부고장처럼 포장한 ‘지인 사칭형 미끼문자’ 방식의 스미싱(Smishing)이 기승을 부리고 있다.
15일 경찰청과 과학기술정통보통신부(과기정통부), 한국인터넷진흥원(KISA)에 따르면 올해 1~9월 사이 탐지된 미끼문자 109만건 가운데 이른바 ‘지인 사칭형 문자’는 24만여 건이었다. 어디까지나 탐지된 건수여서 실제 발송된 미끼문자는 이보다 많을 것으로 추정된다.
지인을 사칭하는 미끼문자의 유형은 다양하다. 부고장, 택배기사, 청첩장, 돌잔치 초대장, 교통 범칙금 안내 등 각양각색. 무시하고 넘기면 문제가 되지 않는다. 하지만 삽입된 링크를 누르게 되면 얘기가 달라진다.
▶미끼문자의 메커니즘 = 링크는 악성 앱 다운로드·설치로 이어지는 경로다. 악성 앱은 휴대전화를 원격으로 접근하고 조종할 수 있는 프로그램. 설치만 되면 연락처, 통화목록, 사진첩 등 모든 개인·금융정보를 제3자가 접근할 수 있다. 이런 정보를 악용해 휴대전화 소액결제나 오픈뱅킹을 통한 계좌이체 등 피해를 낳는다. 이런 지경이 된 휴대전화를 ‘좀비(Zombie)폰’이라고도 한다.
‘좀비폰’의 피해는 지인들을 대상으로 2차 피해를 만든다. 장악된 휴대전화의 연락처 목록에 있는 지인들에게도 똑같은 미끼문자가 발송되기 때문이다. 이렇게 하면 모르는 번호가 아닌 내 이름으로 지인들에게 문자가 발송된다. 문자를 받은 사람은 의심 없이 문자 속 링크를 누르기 쉽다.
더불어 범인들은 1차 피해자의 메신저 계정을 원격조종해 연락처 목록에 있는 사람들에게 ‘거래처에 급히 돈을 보낼 일이 있는데 50만 원만 빌려주면 이자를 보태서 내일 바로 갚겠다’고 속여 돈을 편취하기도 한다.
최근 나오는 악성 앱에는 추가 앱 설치 기능을 탑재한 것들도 있다. 사용자 모르게 추가적인 악성 앱이 설치될 수도 있다. 악성 앱 삭제를 어렵게 하려고 휴대전화 화면에서 보이지 않도록 숨겨놓는 사례가 있어서, 의심이 될 경우 중요 정보를 따로 저장한 후 휴대전화를 초기화해야 한다.
안찬수 경찰청 마약조직범죄수사과장은 “초기 악성 앱은 정보를 탈취하는 기능 위주였으나, 최근에는 휴대전화를 원격으로 조종하는 기능까지 추가될 정도로 진화했다”고 말했다.
김남철 과기정통부 정보보호네트워크정책관은 “악성 앱에 의한 피해는 자신뿐만 아니라 내 가족과 주변 지인에게까지 전파되기 때문에 출처가 불분명한 링크를 절대 눌러선 안 된다”고 당부했다.
지인 사칭형 미끼문자 피해 예방수칙(경찰청 제공)① 수시로 모바일 백신 프로그램을 실행시켜 휴대전화 보안상태 점검. 필요시 휴대전화를 초기화② 의심문자는 〈카카오톡 채널검색 → ‘보호나라’ 채널추가 → 채널 내 스미싱 클릭 → 수신한 문자 메시지 복사 후 붙여 넣기〉를 통해 스미싱 여부 확인
③ 출처를 알 수 없는 앱은 함부로 설치되지 않도록 스마트폰 설정 변경. 〈‘설정 클릭 → 보안 및 개인정보보호 → 보안위험 자동차단 활성화〉
④ 대화 상대방이 개인·금융정보 또는 금전을 요구하거나 앱 설치를 요구하는 경우 반드시 전화, 영상통화 등으로 상대방을 정확하게 확인
⑤ 개인·금융정보가 유출되지 않도록 스마트폰에 신분증 사진이나 계좌·비밀번호 등 저장해두지 않을 것
“