지난달 29일, 월말이어서 직장인 박씨의 스마트폰은 무료 데이터 잔량이 50메가바이트(MB)가 채 남지 않았다. 이날 저녁 박씨는 “데이터사용 초과 요금 청구서확인 Http://0000”라는 문자가 날아왔다. 데이터를 초과 사용한 것으로 오해한 박씨는 아무런 의심없이 인터넷 주소(URL)를 눌렀고, 본인인증 절차인 줄 알고 파일을 다운받아 설치했다. 그런데 며칠 후 박씨 휴대폰에는 게임사이트에서 4만원어치 게임머니를 구입했다는 문자메시지가 날아왔다. 알고보니 스마트폰에 있던 박씨의 금융정보가 해커에 넘어갔기 때문이었다. 백신프로그램을 이용해 스마트폰을 검사한 박씨는 총 4건의 악성코드에 감염된 사실을 확인하고, 스마트폰 사기를 당했음을 알게됐다.
전자금융사기의 일종인 ‘스미싱(Smishing)이 기승을 부리고 있다. 스미싱은 SMS(휴대폰 문자메시지)와 Phishing(피싱·금융기관이나 전자상거래 업체를 사칭해 금융정보를 빼내는 일)의 합성어다. 문자메시지에 포함된 인터넷 주소를 클릭하면 악성코드가 설치돼 스마트폰 사용자의 금융거래 계좌의 비밀번호 등 개인정보가 유출된다.
◆ 스미싱 문자 잘못 눌렀다간…개인·금융정보 탈취당해
최근 스미싱 기법이 교묘해지고 있다. 문자를 받은 사람이 의심하지 않고 파일을 다운받도록 유도하는 문구들이 다양해지면서, 평소 스미싱 사기를 알면서도 당하는 피해자들이 속출하고 있다.
◆ 진화하는 스미싱 문자메시지…상황에 따라 변화무쌍
초창기 스미싱 문구로 자주 사용되던 “[알리미] 형사소송건으로 법원출석서가 발부되었습니다.”, “OO경찰서, 사건번호(13-00000) 관련 긴급출석요구서 내용확인” 등 공공기관을 사칭하는 문구는 이미 구식이 됐다.
지난달 추석 연휴를 앞두고 “**님께서 추석선물을 발송하였습니다. 실시간 배송경로 간편조회”라는 스미싱 문자가 나돌았다. 소셜네트워크서비스(SNS)의 발달로 인해 “페이스북 친구가 동영상을 등록했습니다”, “오늘아침 서울역에서 포착된 안타까운 사진이랍니다 URL”식의 문구도 등장했다. 결혼이나 돌잔치 참가자 확인과 초대장을 가장한 악성코드도 유포되고 있다.
최근에는 민간기업을 사칭하는 스미싱도 등장했다. 우선 가입자가 많은 통신사의 요금이나 데이터 관련한 스미싱 문자가 기승을 부리고 있다. 심지어 안랩의 고객센터를 사칭하는 스미싱 문자까지 등장하면서, 스마트폰 이용자들은 속수무책으로 피해를 당하고 있다.
올해 1~7월까지 경찰청에 접수된 스미싱 피해신고 건수는 1만8143건, 피해액 35억3000만원에 달하는 것으로 나타났다. 지난해 전체 스미싱 피해접수건수는 2182건, 피해액 5억6900만원이다. 올해 피해신고건수는 상반기임에도 벌써 지난해 전체의 8.3배를 넘어서는 상황이다. 피해액도 6.2배에 달한다.
스미싱 사기가 기승을 부림에 따라 통신사 역시 대응에 나섰다. SK텔레콤(017670)은 문자상에 공인된 문자일 경우 화면 오른편에 붉은색의 인증을 표시를 해주는 ‘SK텔레콤 인증’ 서비스를 진행하고 있다. KT와 LG유플러스(032640)역시 비슷한 서비스를 제공하고 있다.
◆ ‘변화무쌍’ 스미싱 문구 대응하기 어려워…개인 보안의식 필요
안랩 관계자는 “이용자가 링크가 있는 문자를 받았을 경우 백신을 실행해 보는 것이 가장 중요하다”고 밝혔다.
안랩은 스미싱 악성코드 예방을 위해 개인들이 지켜야 할 ‘스마트폰 보안 3계명’을 발표했다.
우선 애플리케이션을 다운받을 때는 애플 앱스토어, 구글 플레이스토어 등 공식 마켓을 이용해야 한다. 공식 마켓에도 악성 앱이 등록되어 있을 수 있으므로 인터넷에서 사용자들의 후기를 검색한 다음 이용하는 것이 바람직하다.
또 문자메시지에 단축 인터넷 주소(URL)을 클릭해 앱을 설치하거나 의심스러운 파일을 다운로드 한 경우에는 반드시 최신 버전의 보안 소프트웨어로 악성코드 검사를 해야 한다.
안랩은 특히 중요한 개인 정보 (타 사이트ID, 각종 비밀번호 등) 및 금융 정보(계좌번호, 보안카드 일련번호, 비밀번호 등)는 스마트폰에 저장하면 안된다고 강조했다.