20일 오후에는 한국인터넷진흥원(KISA)을 사칭한 ‘보이스피싱+스미싱 공격’이 등장하는 등 신종 스미싱 공격의 대량 폭격이 시작됐다.
돌잔치, 모바일청첩장, IP주소 표기 스미싱 등 각종 스미싱이 형태를 바꾸며 유포되고 있는 가운데 정부와 언론 등 신뢰할 수 있는 기관을 사칭해 클릭을 유도하는 스미싱이 지속적으로 등장하고 있다.
◇ 정부․언론 등 신뢰할 수 있는 기관 사칭 스미싱 늘어
‘9시 특별뉴스 바로확인’ ‘xxx님 차량이 무인단속장비에 적발됨, 확인처리 바람’ ‘과다요금 환급금 조회’ ‘10월 전기요금 미납 조회’ 등 다양한 신규 형태의 스미싱이 발견됐다. 이같은 문자에 포함된 URL이나 IP주소를 클릭할 경우 소액결제 피해를 입게 된다.
언론, 정부 등 다양한 기관을 사칭한 스미싱 문자들
또 KISA를 사칭한 ‘보이스피싱+스미싱’ 공격도 나타났다.
먼저, 문자메시지를 발송하기 전 이용자에게 KISA를 사칭한 보이스피싱 전화를 걸어, 스마트폰이 악성코드에 감염되었으니 차단앱을 설치해야 한다고 속이고 주민번호를 물어 갈취한다. 이어, “안녕하세요 S-cop 보안팀장 박민수입니다. S-cop.wkeya.com 접속후 Black # 차단 43 S-COP APP으로 설치해주시구요. 진단 분석 내용 토대로 차단 무료서비스 이행해 드리도록 하겠습니다”라는 문자메시지를 발송한다.
문자메시지에 포함된 링크를 누르면 전화기록(Call Log), 문자내용, 위치정보를 유출하는 악성앱이 설치되고 이로 인해 소액결제 피해 등이 발생할 수 있다.
이번 악성앱은 단순히 스미싱 문자를 통해서 악성앱 설치를 유도하는 것이 아니라, KISA를 사칭한 전화를 먼저 걸어 이용자 의심하지 못하도록 한 뒤, 악성앱 설치를 유도하고 있어 이용자의 각별한 주의가 요구된다.
◇ 보이스피싱+스미싱 결합형태까지 등장
전길수 KISA 침해사고대응단장은 “보이스피싱으로 사용자를 안심시킨 뒤 스미싱 피해까지 2중으로 발생시키는 등 스미싱의 형태가 사용자를 속이기 위해 진화를 거듭하고 있다”며 “스미싱 신고 처리기관인 118 KISA를 사칭하거나 전자정부, 금융위원회, 방송 등 일반적으로 사용자들이 믿을 수 있는 기관을 동원해 신뢰를 높이고 있으니 사용자들의 각별한 주의가 필요하다”고 말했다.
이처럼 스미싱 범죄가 급증하자 경찰은 스미싱 예방을 위한 6가지 수칙을 발표했다.
KISA를 사칭한 '보이스피싱+스미싱' 문자메시지
경찰은 스미싱 피해를 막기 위해선 출처가 확인되지 않은 메시지상의 링크 주소를 클릭하지 말 것을 당부했다. 아는 사람에게서 온 메시지라 해도 링크 주소를 함부로 눌러선 안된다. 이미 스미싱으로 얻은 정보를 이용해 아는 사람인 척 접근하는 경우도 있기 때문이다.
스마트폰의 보안 설정을 강화해 ‘알 수 없는 출처’의 애플리케이션 설치를 제한하고, 백신프로그램을 설치하라고도 조언했다. 이동통신사에 의뢰해 소액결제를 제한하는 방법도 권했다.
경찰은 또 인터넷뱅킹에 요구되는 보안카드의 번호들을 휴대전화에 사진 등으로 저장해놓는 경우가 많은데 이는 스미싱을 당했을 때 모두 유출될 수 있어 금융정보 자체를 휴대전화에 입력하지 말라고 밝혔다. 금융위원회가 주관하는 전자금융사기 예방서비스에 가입해 공인인증서의 유출도 방지하라고 했다.
한편 경찰청은 올 들어 지난 10월까지 스미싱으로 인한 피해가 2만8469건, 피해액수가 56억원에 이른다고 밝혔다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
