지난해 말까지만 해도 스미싱은 큰 위협이 아니었다. 하지만 올초 돌잔치 초대, 모바일 청첩장 등을 가장한 스미싱이 급속 유포되면서 피해건수와 규모가 폭발적으로 증가, 스미싱은 등장한 지 1년도 안돼 대표적인 사이버범죄로 자리잡았다.
스미싱(Smishing)은 휴대전화 문자메시지를 이용한 새로운 해킹기법으로 문자메시지(SMS)와 낚시(Fishing)를 합성한 신조어다. 피해자에게 문자메시지를 발송해 인터넷 주소 클릭을 유도, 스마트폰에 악성코드를 설치하고 30만원 이하 소액결제 인증번호를 범인에게 전송하는 수법이다. 이 스미싱이 연일 갱신하고 있는 기록들이 놀랍다
◆ 스미싱 피해 하루평균 70여건, 피해상담 1000건 이상
한국인터넷진흥원(이하 KISA)이 올해 차단한 악성 앱(스미싱에 악용된 악성 앱)은 11월까지 2068건. 지난해 17건에 불과했던 게 1년 새 100배 넘게 늘었다.
SK텔레콤이 자체 감시 시스템을 통해 걸러낸 뒤 KISA와 함께 차단하는 스미싱 문자는 하루 평균 60~70건이다.
국민권익위원회가 정부 민원을 상담하기 위해 운영 중인 ‘110정부민원안내콜센터(국번없이 110)’의 스미싱 피해 상담건수는 올해만 1000건에 육박한다. 권익위는 올해 110콜센터에 접수된 스미싱 피해를 조사한 결과 1분기 347건, 2분기 241건, 3분기 396건 등 총 984건으로 집계됐다고 밝혔다.
연말이 다가오며 스미싱은 더욱 늘어나는 추세다.
이스트소프트의 ‘알약 안드로이드 스미싱’을 통해 조사한 자료에 따르면 지난 11월까지 누적건수 3만2716건이었던 스미싱 탐지건수가 12월이 시작하자마자 폭발적으로 늘어나 지난 5일까지 단 5일 동안 6262건이 집계됐다.
안랩은 지난 해 단 29건에 불과했던 스미싱 악성코드가 올해 4677건으로 증가했다고 밝혔다. 1년 사이 160배 이상 훌쩍 띈 수치다. 특히 2012년, 2013년 안랩의 월별 스미싱 악성코드 통계를 보면 9, 10, 11월 등 연말에 스미싱이 급격히 늘어난 것을 확인할 수 있다.
안랩은 연말을 노린 진화된 형태의 스미싱이 늘어나고 있다며 주의를 당부했다. 연말 특화 내용 등 사회공학적인 기법과 개인정보(실명)가 조합된 ‘개인화 스미싱’ 공격이 등장했다고 밝혔다.
송년회 모임이 많은 연말 시즌을 노린 ‘모임 공지’ 스미싱 문자에는 사전 유출된 사용자의 이름과 함께 모임 장소 링크가 포함되어 있는 경우가 많다. 따라서 본인의 이름과 일치하는 문자를 받은 사용자는 의심 없이 URL을 클릭하기 쉽다.
◆ 올해 스미싱 피해금액 54억5300만원
이호응 안랩 시큐리티 센터장은 “스미싱문구의 주된 목적은 아무런 의심없이 문자 내에 포함된 URL을 실행하도록 속이는 것”이라며 “이에 따라 사회이슈가 되거나, 특정 시즌을 노리는 경우가 많다. 특히 연말에는 동창회, 송별회 등 각종 모임과 연말 소득공제 신고, 합격자 발표 등 악용될 수 있는 요소가 늘어나기 때문에 더욱 사용자의 주의가 필요하다”고 말했다.
스미싱의 목적이 금전적인 피해를 유발시키는 것인 만큼 스미싱으로 인한 피해금액도 가파르게 증가하고 있다.
경찰청에 따르면 올해 1~10월에 접수된 스미싱 피해는 2만8469건, 피해액은 54억5300만원이다.
경찰청 사이버테러대응센터 관계자는 “보이스피싱으로부터 시작한 범죄조직이 스미싱으로 수단을 바꾸고 있다. 악성코드를 만드는 사람과 악성코드를 유포하는 사람, 환전·인출하는 사람이 모두 점조직화 돼 있고 주범들은 중국 등 해외에 있어 잡기 어렵다”고 말했다.
스미싱으로 인한 피해를 입었을 경우 112 경찰서에 신고하고 경찰에서 ‘사건 사고 사실확인원’을 발급 받아 통신사에 제출한다. 피해 사실이 확인되면 피해금을 환급받을 수 있다. 다만 소액결제된 아이템을 사용했을 경우에는 환급이 블가능하다.
경찰은 “보이스피싱, 파밍 등 고전적인 사이버금융사기는 줄어드는 반면 스미싱, 메모리해킹 등과 같은 신종금융사기는 계속 늘어나고 있다”며 “스마트폰 환경 설정에서 알 수 없는 출처의 앱 설치 제한을 활성화시키거나 통신사로부터 소액결제 서비스를 금지시키는 등 사용자의 주의가 시급하다”고 말했다.
스미싱 피해를 최소화 하기 위해서는 1) SNS나 문자 메시지에 포함된 URL 실행 자제 2) “알 수 없는 출처(소스)"의 허용 금지 설정 3) 소액결제 차단 혹은 결제금액 제한 4) 모바일 백신으로 스마트폰을 주기적으로 검사 5)스미싱 탐지 전용 앱 다운로드 등이 필요하다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지