[스페셜경제=최문정 인턴기자]“불일치한 주소지로 인해 배달불가합니다. 확인 부탁드립니다” 직장인 A씨는 오후 근무를 하던 중 문자 한 통을 받았다. 생각해보니 받을 택배가 있었다. 배송지를 사무실로 했던가, 아니면 자택으로 했던가 잘 기억이 나지 않았다. 확인해보려 문자에 포함된 인터넷 접속 링크를 눌렀다. 눈에 익은 본인인증 홈페이지가 나오고 난 뒤는 더욱 거침이 없었다. 손가락은 머리까지 보고를 할 필요도 없다는 듯 척척 이름, 휴대폰번호, 생년월일, 통신사 정보를 입력했다. 잠시 뒤 본인인증 전화를 받아 확인 숫자까지 입력을 마쳤다. 그 순간 한 통의 문자가 더 도착했다. “휴대폰 소액결제 완료 안내, 300000원 결제 완료”

최근 스마트폰 간편결제 등을 이용한 스미싱(smishing) 사례가 늘고 있다. 스미싱은 문자메시지(SMS)와 피싱(Phising)의 합성어다.

스미싱 범죄는 악성코드에 감염된 스마트폰을 통해 이뤄진다. 여러 유형이 있지만 기본적으로 악성 앱 주소가 포함된 휴대폰 문자를 불특정 다수의 번호로 전송 후 이용자가 악성 앱을 설치하도록 유도해 금융정보 등을 탈취하는 방식이다. 악성 앱 설치가 아니더라도 정상적인 사이트를 모방한 불법 사이트로 링크가 안내되는 경우도 있다.

한국인터넷진흥원은 “(스미싱에 활용되는)인터넷 주소는 단축 서비스를 사용해 이용자가 웹사이트 정보를 알기 어렵고, 정상적인 사이트와 매우 유사하게 모방해 제작된 가짜사이트인 피싱사이트로 연결된다”며 “최근에는 정상적인 사이트와 유사한 일반적인 인터넷주소를 사용하는 경우도 있으므로 주의해야 한다”고 설명했다.

대표적인 스미싱 문자 사례는 ▲사회적 이슈를 이용(주로 연론사 이름을 사칭하고 그 뒤에 링크를 첨부) ▲택배를 사칭(주소 정보 등이 잘못돼 배송을 할 수 없다는 내용 뒤에 링크 첨부) ▲공공기관 사칭(검찰·경찰 출석요구 등 내용 안내 후 링크 첨부) ▲지인을 사칭(돌잔치, 결혼식 등의 행사에 초대하는 내용 뒤에 링크 첨부) 등이 있다.

최근엔 국가재난지원금과 관련한 스미싱 사례도 등장했다. 재난지원금 관련 안내 문자 뒤에 불법 링크가 첨부된 방식으로 해당 링크를 클릭하면 정교하게 꾸며진 ‘가짜’ 재난지원금 신청 홈페이지로 연결된다. 이 경우 이용자의 이름, 생년월일, 전화번호 등의 신상 정보는 물론이고 금융 정보까지 도용될 수 있어 더욱 주의가 필요하다.

이와 같은 스미싱 범죄는 안드로이드 운영체제 기반의 스마트폰 이용자가 더욱 쉽게 노출될 수 있다. 이는 안드로이드 운영체제의 경우 확장성이 좋아 공식적인 앱 설치 경로인 ‘플레이스토어’를 거치지 않고서도 앱 설치가 가능하기 때문이다.

피해자는 자신의 스마트폰에 악성앱이나 코드가 설치됐다는 사실조차 모를 수 있다. 이 경우 피해자의 휴대폰을 숙주로 삼아 또 다시 연락처에 등록된 지인들이나 불특정 다수의 휴대폰으로 악성코드나 앱 다운로드 링크가 포함된 문자가 전송될 수 있어 2차, 3차 피해로 이어질 수 있다.

애플의 아이폰도 피해의 대상이 될 수 있다. 폐쇄적인 ios 환경 상 공식 앱 설치 경로인 ‘앱스토어’를 통하지 않고는 앱을 다운받을 수 없지만 불법 사이트를 방문한 이력이 있어 악성 코드 등이 남아 있을 가능성이 있기 때문이다.

통신업계 관계자는 “아이폰의 경우 악성 앱이 깔리는 경우는 거의 없지만 불법 사이트에 접속해 악성 코드가 남아 있을 가능성은 충분히 있다”고 설명했다. 또한 “스미싱 피해가 의심되는 경우 2차 피해를 방지하기 위해 초기화를 시행하는 것이 좋다. 초기화 후엔 스마트폰 보안 앱을 사용해 전체적인 보안 상태를 점검하는 것이 필요하다”고 설명했다.

통신업계 관계자는 “전화 통화를 통해 수사기관을 사칭하는 사기 수법인 보이스피싱의 경우 어눌한 말투나 낯선 억양으로 인해 중간에라도 범죄임을 알아차릴 가능성이 있지만 스미싱은 내용이 문자로 전송되고 순간적으로 링크 접속이 이뤄져 의심이 어렵다”고 말했다. “스미싱의 경우 오히려 소액결제와 같은 시스템이 익숙한 젊은 층이 타겟이 되는 경우가 많다”고 설명했다.

스미싱 피해가 의심된다면 우선 사용하고 있는 통신사 서비스를 통해 해당 소액 결제가 실제로 이뤄졌는지 확인해야 한다. 확인 후엔 추가 피해를 막기 위해 소액 결제 한도를 조정하거나 취소하는 조치가 필요하다.

한국인터넷진흥원은 “모바일 결제 피해가 확인되면 해당 스미싱 문자 캡쳐해 통신사 고객센터를 통해 스미싱 피해 신고하고 ‘소액결제확인서’ 발급받은 후 관할 경찰서 사이버수사대 또는 민원실을 방문해 사고 내역을 접수해야 한다”고 설명했다. 또한 “ ‘사건사고 사실 확인서’를 발급아 통신사나 결제대행 업체에 사실 및 피해 내역 확인 후 피해보상을 요구하면 된다”고 대처 방법을 안내하고 있다.

그러나 사이버수사당국은 “스미싱의 사례가 교묘해져 가해자를 특정하기 어렵고 피해 금액도 보전이 어렵다”며 “스미싱을 이용한 불법 결제나 앱 다운로드 링크를 역추적해보면 중국발인 경우가 대부분이다”라고 설명했다.

또한 스미싱으로 결제된 금액이 게임회사의 게임머니 등으로 세탁될 경우 가해자 특정은 더욱 어려워진다.

국내 게임회사 넥슨은 “(스미싱에 포함된) URL(링크)을 클릭하거나, URL 클릭 후 인증 과정을 거치면 휴대폰 결제로 넥슨캐시가 충전되는 결제 도용 피해가 발생할 수 있다”고 안내했다. 이 경우 이미 사용된 게임 머니는 환불받을 수 없다.

통신사도 소액 결제의 경우 결제 대행사에 불과한 입장이기 때문에 피해 보상이 더욱 어렵다.

통신업계 관계자는 “스미싱 사례가 더욱 치밀하고 교묘해짐에 따라 젊은층이라 하더라도 주의가 필요하다”며 “낯선 번호로 온 링크는 물론이고 지인이 보낸 문자라 해도 일단 의심해보는 태도가 필요하다”고 설명했다. 또한 “실제 피해 사례가 발생했을 경우 사이버경찰청(182)이나 한국인터넷진흥원(118) 등의 기관에 신고하고, 통신사에도 최대한 빨리 알려야 한다”고 말했다.

 

스페셜경제 / 최문정 인턴기자 muun09@speconomy.com 

저작권자 © 스페셜경제 무단전재 및 재배포 금지