진화하는 스미싱, 아차 하면 클릭

교통위반과 결제 등 다양한 형태로 진화하는 스미싱 문자메시지. 한국인터넷진흥원 제공

직장인 장모(36'대구 동구 방촌동) 씨는 지난달 29일 오후 10시 30분쯤 '교통법 위반(서울중앙법원)'이라고 적힌 문자메시지 한 통을 받았다. 자신의 이름으로 등록된 차가 없고 운전을 한 적도 없는 장 씨는 당황했다. 혹시 부모님이나 아내가 교통위반을 한 것은 아닌지 걱정됐다. 문자메시지를 클릭하기 전 부모님과 아내에게 전화를 걸어 교통위반 사실을 물었지만 아니라는 말을 들었다. 장 씨는 그제야 자신이 받은 문자메시지가 '스미싱'이라는 것을 알았다.

문자결제 금융사기인 '스미싱'(Smishing) 범죄가 최근 교통위반과 카드결제 등 진화된 형태로 다시 고개를 들고 있다. 스미싱 문자메시지는 지난해 초 할인쿠폰에서 시작해 돌잔치를 거쳐 법원'경찰을 사칭해오다, 최근엔 교통위반과 카드결제와 관련된 내용으로 진화하고 있다.

한국인터넷진흥원에 따르면 지난해 신종 악성 앱 신고 건수 중 교통위반 내용은 1~9월 0건이었다가 10월 30건으로 처음 나타난 뒤 12월 80건으로 급증했다. 결제 관련 악성 앱 신고도 10, 11월 각각 25, 32건으로 주춤하다가 지난달 들어 86건으로 다시 늘었다.

스미싱 범죄가 갈수록 지능화되고 있다. 지난해 초에는 제과점 등의 할인쿠폰 혜택을 제공하는 형태로 스마트폰 사용자들의 클릭을 유도했다. 지난해 2월에는 이런 할인쿠폰 스미싱이 대다수를 차지했다. 3, 4월에는 대형마트와 음식점 등에서 일정 금액이 결제됐다는 내용이 급증했다. 결혼시즌인 5월이 되자 청첩장과 돌잔치 등 지인을 사칭한 스미싱 문자메시지가 두드러지게 늘었고, 이런 추세는 8월까지 이어졌다. 9월 들어선 법원과 경찰 등 권력기관을 사칭해 범법 행위에 연루된 것처럼 속이는 내용이 급증했다.

스미싱 범죄는 범인의 검거가 쉽지 않기 때문에 근절되지 않고 있다. 스미싱에 이용되는 IP 주소와 서버 등은 대부분 중국 등 해외에 있다. 이를 추적'수사하는 데만 한 달 이상이 소요된다. IP 주소 추적에 성공하더라도 범인이 해외에 있기 때문에 체포가 어렵다. 대구 동부경찰서 사이버팀 관계자는 "신고 접수된 피해액이 거의 소액이라서 다른 사이버범죄를 제쳐 두고 스미싱 수사를 무작정 길게 끌고 갈 수 없는 현실적인 한계가 있다"고 말했다.

그래서 강조되는 것이 사전 예방이다. 특히 스미싱은 앞으로 개인정보와 결합하는 형태로 진화할 수 있는 만큼 미리 스미싱 문제에 대비하는 것이 중요하다는 것. 가령 자신의 차량번호가 적힌 교통단속 문자메시지나 자신이 사용하고 있는 신용카드 번호가 결합된 결제 문자를 받는다면 이용자들이 스미싱 여부를 판단하는 데 혼란을 겪을 가능성이 높다.

전문가들은 보안점검 앱을 사용하면 스미싱 문자메시지를 사전에 대비할 수 있다고 조언한다. 이를 통해 악성 앱 유포 사이트 및 정보 유출 서버에 대한 접속 차단은 물론 스마트폰 팝업 창으로 신종 스미싱 문구를 실시간으로 알 수 있다.

대구경찰청 사이버범죄수사대 관계자는 "출처가 명확하지 않은 문자메시지의 인터넷주소는 클릭하지 않고, 공식사이트가 아닌 곳에서 앱을 함부로 설치하지 않도록 보안설정을 강화해야 한다"며 "통신사 고객센터를 통해 소액결제 한도액을 0원으로 하는 등 결제 자체를 제한하는 것도 방법"이라고 말했다.

전길수 한국인터넷진흥원 침해사고대응단장은 "선물 구입과 배송, 각종 모임 등이 많은 점을 노리고 있다"며 "앞으로 친구를 가장한 새해 인사나 대학입시 결과 발표, 입학금 통지 등의 스미싱도 나타날 가능성이 있어 주의가 필요하다"고 당부했다.

서광호기자 kozmo@msnet.co.kr