세계일보

이러한 스미싱 공격은 휴대폰 단문메시지서비스(SMS)를 이용해 실행되는 피싱 공격이다. 스미싱에는 링크(URL)가 포함돼 있으며, 이를 통해 악성앱 설치를 유도한다. 수신자는 자신도 모르게 금융 정보나 개인정보를 입력하게 되거나, 악성 소프트웨어가 설치돼 피해를 입게 된다.

스미싱 공격은 신뢰할 수 있는 기관이나 지인, 자주 사용하는 서비스를 가장해 피해자의 경계를 무너뜨리는 방식으로 이뤄진다. 특히 명절과 같은 특정 시즌에는 선물, 이벤트, 세뱃돈 등의 키워드를 활용해 피해자를 속이려는 사례가 급증한다. 금융·보안 당국에서 다양한 예방 조치를 강화하고 있으나 피해자는 여전히 늘어나고 있는 상황이다.

실제 라온시큐어는 이달 1일부터 설 연휴를 앞둔 현재까지 자사의 피싱 방지 서비스인 '스마트안티피싱'을 통한 악성앱 예방 건수가 설 연휴기간이 포함된 지난해 2월보다 증가하고 있어 피싱 공격에 대한 주의가 필요하다고 당부했다.

◆자녀·지인·공공기관·택배사 사칭…명절에는 '세뱃돈' 키워드도 활용

명절에는 가족의 연락을 기다리는 부모님들의 마음을 노린 스미싱 공격을 조심해야 한다.

공격자들은 자녀를 사칭해 '핸드폰을 분실했다' '액정이 파손됐다'며 다급한 내용의 문자나 메신저를 보낸다. 이후 공격자는 문화상품권 구매 후 일련번호 전송, 신분증 사진 요구, 정상 앱으로 위장한 악성 앱 설치 등을 유도한다. 악성 앱을 설치하면 휴대전화 속 저장된 각종 정보가 탈취되며, 이를 악용해 금전적 손실이나 추가 보이스피싱 공격 등 2차 피해로 이어질 수 있다.

공공기관을 사칭하는 스미싱 공격에도 각별한 주의가 필요하다. 실제 정부가 탐지한 스미싱 현황을 살펴보면, 과태료·범칙금 등 정부공공기관을 사칭하는 유형이 2022년부터 지난해까지 총 162만여건으로 가장 많은 비율을 차지했다.

이런 공공기관 스미싱은 건강보험공단, 우체국 등 신뢰할 수 있는 기관명을 사칭하면서 '미납 고지', '배송 실패'와 같은 내용을 담아 피해자가 링크를 클릭하도록 유도한다. 또는 벌금을 물게 됐으니 확인하라는 내용을 담아, 수신자가 순간적으로 당황해 링크를 클릭하도록 유도한다.

택배 송장 안내형도 대표적인 명절 스미싱 유형이다. 주소 오류가 있다고 하거나, 물품이 반송될 예정이라며 링크 클릭을 유도한다.

설날에는 새해 관련 키워드를 활용한 스미싱 공격도 증가한다. 세뱃돈, 복주머니와 같은 키워드와 함께 악성 링크를 전달해 사용자의 클릭을 유도하고, 링크 클릭 시 악성 파일이나 정보 입력을 유도한다. 이러한 문자를 수신했다면 열람 전 발신자에게 확인하고, 실수로 링크를 클릭해 악성 파일이 다운로드 됐더라도 설치하지 않으면 안전하니 바로 삭제해야 한다.

◆문자로 받은 링크 클릭은 신중해야…파일 설치·개인정보 전송은 절대 거절

스미싱·피싱 피해 사전 예방을 위해서는 ▲출처가 불명확한 인터넷주소나 전화번호 클릭 금지 ▲공인 앱마켓을 통한 앱 다운로드 ▲백신 앱 설치 및 최신 버전 업데이트 등의 보안 수칙을 준수해야 한다.

아울러 ▲긴박한 입금 요청 등의 문자를 받으면 반드시 직접 전화해 사실 관계 확인 ▲개인·금융정보 입력 금지 ▲스마트폰 내 저장된 신분증 사진 삭제 ▲플랫폼 계정 OTP 및 다단계인증(MFA) 활성화 등을 기억해야 한다.

따라서 사용자들은 스미싱 사례에 대한 경각심을 가지고 출처가 불분명한 메시지나 링크는 절대 클릭하지 않아야 한다. 또 신뢰할 수 없는 웹사이트를 통해 애플리케이션을 설치하는 것을 피하고, 반드시 구글 플레이스토어나 갤럭시 스토어와 같은 공식 앱 마켓을 이용해야 한다.

보안 업계 관계자는 "마켓 내에서도 신뢰할 수 있는 브랜드 앱 사용을 권장하며, 브랜드 앱이 아닐 경우 다운로드 수와 사용자 리뷰를 확인해 앱의 신뢰성을 검증할 필요가 있다"고 조언했다.

<뉴시스>

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]