전문가, 개인 대응 통한 피해 줄이기 강조
정부 차원 대책도 마련돼야
#. 지난 9일 경기도 안양에 사는 직장인 한아무개(여·38)씨는 긴급재난자금 상품권을 준다는 메시지를 받았다. 한씨는 “얼마 전 ‘n번방 회원 신상공개’라는 제목으로 같은 문자가 왔었는데 내용만 살짝 바꿔 또 왔다”며 “같은 수법으로 반복되는 건 피해가 꾸준하다는 의미로 모두가 뉴스에서 접한 피해자가 될 수 있다”고 맘카페에 이 사실을 공유했다.
신종 코로나바이러스 감염증(코로나19) 여파로 정부와 각 지자체에서 긴급재난지원금을 지급하는 가운데 이를 사칭한 스미싱 공격이 확인돼 주의가 요구된다.
보안업체 이스트시큐리티(ESRC)에 따르면 ‘[긴급재난자금] 상품권이 도착했읍니다. 확인해주세요’라는 내용의 스미싱 문자가 퍼지고 있다. 문자에는 ‘https://bit.ly’로 시작하는 인터넷 주소(URL)가 담겼다. 해당 링크를 누르면 ‘pp_tv’라는 이름의 앱 설치 화면으로 이동한다. 악성 앱을 설치하면 사용자 스마트폰은 바이러스에 감염돼 정보가 노출된다.
스미싱은 문자메시지(SMS)와 피싱(Phishing)의 합성어다. 수신자가 링크에 접속하도록 한 뒤 악성코드를 설치해 해당 스마트폰에서 개인 정보를 수집하는 수법이다. 수신자 몰래 기기 정보, 연락처, 통화 기록, 설치 앱 목록, 위치 정보 등을 탈취할 수 있다. 스미싱은 특정 기관이나 지인을 사칭하는 수법으로 발전하다 최근 코로나19, n번방 등 사회적 이슈를 쫓아 활개를 치고 있다.
지난달 18일 한국인터넷진흥원에 따르면 코로나19 관련 스미싱 문자는 총 9886건이다. 대부분 마스크 무료 배포 등 관심을 끌 만한 제목으로 클릭을 유도했다. 공격자들은 스마트폰에 가짜 앱이나 악성코드 등을 설치해 개인정보를 탈취한 것으로 나타났다. 긴급재난자금 스미싱은 지난달 말 ‘n번방 회원 신상정보 공개’로 사칭했던 사례와 유사하다.
전문가들은 스미싱 피해를 줄이기 위한 개인 차원의 예방을 강조했다. 문종현 ESRC 센터장은 “스미싱 공격자들은 국내 정치·사회 이슈 등을 교묘히 이용하는데, 개인적 예방이 무엇보다 중요하다”며 “신뢰할 수 있는 모바일 백신 프로그램을 설치해 정기적으로 검사하고 출처가 불분명한 경로로 안드로이드 응용 프로그램 패키지(APK)를 다운받지 말아야 한다”고 강조했다.
조용현 고려사이버대 정보관리보안학과 교수는 “모르는 이가 보낸 링크는 절대 클릭하지 말고 출처가 불분명한 모바일 앱은 설치하면 안 된다. 무엇보다 스미싱을 일종의 사기로 자각해 자신은 물론 가족 스마트폰까지 안전하게 해주는 정보 보호 설정이 필요하다”며 “코로나19로 스마트폰에 할애하는 시간이 늘어날수록 스미싱 피해 증가 추이를 분석한 대응책 마련이 시급하다”고 설명했했다.
정부 차원의 대책이 필요하다는 지적도 나온다. 이경호 고려대 정보보호대학원 교수는 “스미싱의 경우 개인 경각심만으로는 대처하기가 매우 어렵다”며 “SMS에 대해 통신사에서 일괄 필터링하는 방식의 제3자를 통한 대처도 가능한데, 현재는 SMS를 필터링하면 할수록 과금 문제로 통신사 매출에 손실이 생길 수 있다”고 말했다.
이어 “필터링된 SMS의 경우 정부가 지정하는 전문기관이 검증을 맡아 연말에 한꺼번에 다양한 형태로 보상하는 방법이 있다”며 “각 통신사는 협업을 기반으로 한 필터링 시스템을 운영하고, 최초 스미싱 SMS를 신고와 동시에 통신사에 배포해 필터링 시스템에 등록하는 것이다. 이를 전문기관에서 가이드한다면 더 좋은 효과를 낼 것”이라고 덧붙였다.