사악해지는 스미싱 백태
사이트·로고 똑같이 위조해
보안패치 설치 등 클릭 유도
리딩방 안내로 악성앱 심고
직구 늘자 세관·택배 사칭도
SMS 발송업체도 해킹 피해
스팸문자 4년 새 9.7배 급증
"링크주소 절대 누르면 안돼"

"[Web발신] 급등주 무료로 받기 일주일 수익 85% https://band.us/n/a8ac0bR7LbU0M"

홍보 문자를 사칭한 스미싱 메시지가 급증하고 있다. 대표적인 것이 리딩방 스팸이다.

사칭의 종류는 유사투자자문업뿐만이 아니다. 온라인 사기꾼은 '해외 직구'족이 늘어나면서 관세청을 사칭하고, 가짜 택배 보관 문자를 발송한다. 또 스팸 피해가 늘어나자 계좌를 개설하지 않았으면 확인하고 신고하라고 역으로 은행을 위장한다. 2010년대 초반에 범람한 대리운전 안내와 같은 단순 홍보성 문자메시지와는 차원이 달라졌다. 이들 스미싱에는 한 가지 공통점이 있다. 바로 특정 웹사이트로 연결되는 URL(Uniform Resource Locator) 주소가 포함돼 있다는 사실이다. 스미싱 문자 발송→링크 클릭 유도→가짜 사이트로 연결시키는 식이다. 특히 가짜 사이트는 매우 정교하게 만들어졌다. 정상적으로 보이지만, 개인정보나 금품 탈취를 목적으로 하는 것이 다르다. 때론 링크를 클릭하는 것만으로 APK 파일(안드로이드 운영체제용 애플리케이션을 담고 있는 패키지 파일)이 자동으로 내려받아지고 악성 앱이 깔린다.

악성코드가 포함돼 있어 스마트폰은 먹통이 되고, 스캠(Scam) 조직이 원격 조작할 수 있는 '좀비화'가 될 가능성이 있다.

예를 들어 '급등주 수익 예상' 문자에 포함된 URL 주소를 클릭하면 "먼저 보안 앱을 깔라"는 안내를 받을 수 있다. '보안을 위해 보이스피싱 방지 앱을 내려받으라'고 권유하는 식이다. 하지만 가짜 보안 앱을 내려받으면, 진짜 보안 앱이 삭제되고 권한을 송두리째 빼앗긴다. 사기꾼들이 사용자 스마트폰을 장악하고 데이터를 암호화한 다음 정상 작동을 위한 암호키를 대가로 금품을 요구하는 랜섬웨어(Ransomware)를 당할 수 있다. 다크웹 탐지 기업인 에스투더블유(S2W)의 오재학 다크웹 분석가는 "피해자가 아이디와 패스워드를 입력하도록 유도하기 위해 은행 사이트마저 똑같이 만든다"면서 "절대로 URL 주소를 누르면 안된다"고 말했다.

국가사이버안보센터에 따르면 국내 금융사뿐만 아니라 해외 금융사·거래소까지 위장한 사이트만 지금껏 59건이 발견됐다. 위장 앱은 상호와 이름을 슬쩍 바꿔 넣는 식으로 사람들을 현혹한다. 유안타T, KB플러스, SH알파, 하나INT가 대표적이다. 심지어 이름과 로고도 꼭 같이 ○○○뱅크 앱을 만든 경우도 발견됐다.

홍보성 스팸 문자가 폭발적으로 급증하면서 덩달아 스미싱까지 늘고 있다. 방송통신위원회와 한국인터넷진흥원에 따르면 스팸 음성·문자 건수는 2019년 3112만건에서 지난해 3억268만건으로 9.7배 폭증했다.

스팸 문자가 폭증한 원인은 다양하다. 우선 휴대전화 단말기 스팸 신고 기능이 개선돼 통계에 잡히는 건수가 늘었다는 것이 방통위의 설명이다. 또 정식 투자자문업자만 카카오톡 오픈채팅방이나 텔레그램 등을 통한 '리딩방'을 운영할 수 있는 '자본시장법 개정안'이 8월 시행될 예정이다. 이 때문에 막바지 리딩방 호객용 스팸이 기승을 부리고 있다는 분석이다. 하지만 가장 큰 원인은 대량 SMS 서비스를 대행하는 문자재판매사업자 업체들이 해킹을 당했기 때문인 것으로 풀이된다.

방통위는 올 6월부터 '대량문자전송사업자 전송자격인증제 자율운영 가이드라인'을 시행하고 있다. 문자 관련 사업자는 크게 세 종류다. 이동통신사업자, 이통사의 시스템을 활용해 문자메시지를 발송하는 문자중계사업자, 문자중계사업자의 시스템을 활용해 문자메시지를 발송하는 문자재판매사업자다. 현재 전국 1184개에 달하는 문자재판매사업자가 인가를 받은 상태다. 인터넷진흥원 조사에 따르면 문자재판매사업자 일부 서버가 해킹을 당한 것으로 알려졌다. 하도급에 재하도급을 주다보니 관리 감독이 안 됐다는 지적이 나온다.

피해는 고스란히 사용자 몫이다. 스팸 문자는 상당수가 스미싱이다. 방통위와 인터넷진흥원에 따르면 지난해 하반기 기준으로 스팸 문자는 도박이 47.4%로 가장 큰 비중을 차지했다. 이어 불법 대출 20.7%, 금융 11.5%, 성인 콘텐츠 6.5% 순이었다.

문제는 갈수록 공공기관을 사칭하는 건수가 늘고 있다는 점이다. 경찰청에 따르면 기관 사칭형 보이스피싱 건수는 지난해 1만1314건으로 전년 8390건 대비 34% 증가했다. 피해액 역시 같은 기간 2077억원에서 2364억원으로, 검거 건수는 4103건에서 7352건으로 늘어났다.

스미싱·스캠

스미싱(smishing)은 문자메시지(SMS)와 피싱(Phishing)의 합성어다. 스팸 문자를 대량 발송해 악성 앱을 설치하도록 유도하고 금품을 탈취하는 것을 가리킨다. 스캠(Scam)은 다른 사람을 속여 금전적 이익을 취하는 부정 행위를 가리킨다. 오늘날 주로 문자메시지, 이메일, 웹사이트, 전화 등을 통해 이뤄지며 신뢰를 악용한다는 것이 특징이다.
 

매일경제