[프라임경제] # 지난 27일 정모씨(28세·가명)는 하루 종일 지인들 성화에 시달려야 했다. 자신도 모르는 새 정씨의 이름으로 '돌잔치 모바일 초대장'이 휴대폰 주소록에 저장된 지인들에게 전송됐기 때문이다. 문제는 이 초대장이 스미싱 문자였다는 것. 해당 문자에 적힌 인터넷주소(URL)를 클릭해 정씨와 같은 피해를 입은 이들이 급격히 확산되고 있다.

휴대폰으로 빠르게 유포된 '돌잔치 메시지'는 지인을 사칭, 모바일 초대장이라고 속인 후 메시지에 포함된 인터넷주소(URL) 연결을 유도한 신종 스미싱 수법이다. 이 주소를 클릭하게 되면, 악성앱이 자동으로 설치되고 주소록 내 연락처로 같은 메시지를 무작위로 발송하는 피해를 유발하게 된다.

SK텔레콤(017670)에 따르면 지난 27일 오후 4시경 최초 보고된 이번 스미싱 메시지는 약 3시간 동안 수십만건이 발송됐으며, 4600여명이 악성앱에 노출된 것으로 파악하고 있다.

◆모르는 번호만 조심하라고? 진화하는 스미싱에 '속수무책'

경찰청 사이버테러대응센터는 피해자 주소록에 저장된 지인들에게 동일한 내용의 스미싱 문자가 다시 발송되는 2차 피해를 우려했다. 또한, 스마트폰에 설치된 악성코드로 인해 뱅킹앱을 실행하면, 보안강화를 명목으로 금융정보를 입력하라고 요구해 소액결제 혹은 금융정보 탈취 등의 피해를 입을 수 있다고 밝혔다.

지난 27일 전국으로 확산된 돌잔치 사칭 스미싱 메시지는 금융기관을 사칭한 악성앱을 자동으로 설치해 금융사 ID·패스워드·계좌번호·비밀번호·보안카드번호 등을 요구한다. 이와 같은 지인을 사칭한 스미싱 메시지는 그 내용이 점점 진화하고 있어 사용자의 각별한 주의가 요구된다. ⓒ 경찰청 사이버테러대응센터

스미싱(SMishing)은 문자메시지(SMS)와 피싱(Phishing)의 합성어다. 홈페이지 링크가 포함된 휴대전화 문자메시지를 발송, 악성코드가 포함된 사이트로 접속을 유도하거나, 개인정보·금융정보를 빼내는 신종 사기다. 월스트리트저널이 2007년 유행할 단어로 꼽은 스미싱은 현재까지 그 방법이 교묘해지면서 피해가 날로 증가하고 있다.

국내 상황을 잠시 살펴 보면 지난해 10월, 충남 천안동남경찰서는 스미싱 사기단 4명을 붙잡아 귀화 중국인 등 3명을 사기혐의로 구속하고 1명은 불구속 입건한 바 있다. 이들은 지난해 8월 피해자 모씨의 휴대전화로 은행을 사칭한 문자를 보내, 알아낸 금융정보로 1000만원을 빼내는 등 총 72명으로부터 2억7391만원을 편취했다. 

지난해까지만 해도 은행을 사칭하며 모르는 번호로 문자메시지를 보내 금융정보를 탈취하는 스미싱이 대부분이라 '낯선번호를 조심하면 스미싱에 걸리지 않는다'라는 인식이 퍼져있었다.

그러나 현재는 가족, 친구의 이름으로 돌잔치·청첩장 메시지를 전송하고, 무료쿠폰·스마트명세서 발송과 같은 내용을 통한 스미싱 수법이 기승하고 있다. 사용자의 의심을 줄이는 지능적 수법인 셈이다. 고객들이 속수무책으로 당하는 경우가 증가할 수 있는 구조다.

◆이통3사별로 살펴보는 스미싱 대처방안

이에 이동통신3사는 스미싱 피해를 예방하고, 발생한 피해를 최소화하기 위한 대책을 강구했다.

SK텔레콤은 돌잔치 사칭 스미싱 메시지에 대한 피해주의보를 28일 발령하고, 고객들에게 각별한 주의를 기울일 것을 당부했다. 스미싱 메시지와 악성앱으로 문자메시지 요금이 발생된 피해고객을 대상으로 기본 문자메시지 제공량을 복원해주고, 문자 요금을 과금하지 않을 방침이다.

SK텔레콤 관계자는 "이번 스미싱 메시지로 악성앱을 설치한 피해고객 전원에게 2차 피해 방지책을 전화로 안내해주고, 이상 징후 모니터링을 강화하는 등 유사 피해가 최소화될 수 있도록 만전을 기할 예정"이라고 말했다. 이어 "T스토어에서 제공되는 무료 백신인 'T가드'를 설치해 악성앱 감염 여부를 확인하고, 삭제해야 2차 피해를 막을 수 있다"고 부연했다.

KT는 '올레 스미싱 차단 앱'을 통해 스미싱을 방지하고 있다. 이 앱은 이용자가 스미싱으로 의심되는 앱을 다운받았을 경우, 스미싱 악성코드 감염 여부를 분석해 실시간으로 경고해준다. 또, 주기적으로 스미싱 악성코드 감염여부를 체크해 삭제할 수 있게끔 한다.

아울러, KT는 상시 모니터링을 통해 스미싱 URL 사전 차단하는 작업을 지속적으로 진행하고 있다. KT 관계자에 따르면 이번 돌잔치 스미싱의 경우, 일찍이 27일 오후 3시에 해당 URL을 차단해 피해신고가 한 건도 발생하지 않았다.

이통3사 중 LG유플러스가 실시하는 휴대폰 소액결제 비밀번호 서비스를 적용한 모습이다. 이와 함께 LG유플러스는 모바일로 소액결제를 차단하는 서비스도 제공하고 있다. ⓒ LG유플러스

LG유플러스는 '휴대폰 소액결제 비밀번호 서비스'를 통해 사기 피해를 예방하고 있다. 기존에는 주민번호 등 사용자 개인정보와 인증번호(6자리)만 입력하면 결제가 가능해 악성코드를 이용, 인증번호를 편취할 수 있었다.

이에 LG유플러스는 기존 소액결제 인증번호 6자리 중 3자리를 휴대폰 사용자가 직접 설정하게끔 했다. 소액결제 비밀번호는 LG유플러스 고객센터 및 홈페이지를 통해 사전에 설정할 수 있으며 오는 9월부터 모바일에서도 비밀번호를 설정할 수 있도록 서비스 제공범위를 확대할 방침이다.

이러한 이통3사의 스미싱 예방 조치에도 불안감을 느끼고 있다면, 소액결제 한도를 제한하거나 원천 차단할 수 있다.

각 이통사 고객센터, 홈페이지를 통해 소액결제 한도를 '0'원으로 설정, 스미싱으로 자신도 모르는 돈이 빠져나가는 일을 원천 봉쇄할 수 있다.

이와 함께 경찰청 사이버테러대응센터는 스미싱 피해 예방법 7가지 수칙을 통해 스마트폰 사용자들의 각별한 주의를 요청했다. 7가지 수칙은 △지인으로부터 온 문자메시지라도 인터넷주소가 포함돼 있다면 전화로 확인 △스마트폰용 백신프로그램 설치·주기적인 업데이트 △스마트폰 보안설정 강화 △보안강화 및 업데이트를 명목으로 금융정보를 요구에 응하지 말 것 등을 당부하고 있다.