다양한 유형으로 나타나 이용자 유혹
링크된 주소 함부로 누르지 말아야…의심되면 118 신고
  • ▲ 작년 여름 발생한 초대장을 가장한 스미싱 문자메시지.ⓒ온라인 커뮤니티
    ▲ 작년 여름 발생한 초대장을 가장한 스미싱 문자메시지.ⓒ온라인 커뮤니티


결혼한 친구도 없는데 웬 돌잔치?

한번 눌러볼까?



작년 여름,
이렇게 돌잔치 초대장을 가장한 스미싱 메시지는 
단 몇시간 만에 수십만 건이 발송됐고
수천명의 피해자를 낳았다. 

[스미싱]
[문자메시지(SMS)][피싱(Phishing)]의 합성어다.

문자메시지에 인터넷주소를 링크해 두고
이를 클릭하면 악성코드를 이용자 모르게 설치해 
소액결제 피해를 발생시키거나 
개인정보 등을 탈취해 간다. 

스미싱 문자는 
마치 아는 사람이 보낸 것처럼 가장해
인터넷주소를 클릭하게 만드는 것이 핵심이다. 


  • ▲ 작년 월별 스미싱 악성앱 신고 현황.ⓒKISA
    ▲ 작년 월별 스미싱 악성앱 신고 현황.ⓒKISA



    • 한국인터넷진흥원(KISA)에 따르면 
    지난달 26일까지 접수된 
    스미싱 신종 악성앱은 총 2,278건으로 
    2012년 15건에 비해 150배 이상 증가했다.
     
    스미싱 내용도
    갈수록 교묘해 지고 있다. 

    초기에는 할인쿠폰 등 
    [혜택]을 제공하는 형태로 클릭을 유도했다면, 
    공공기관을 사칭, 권위를 활용한 위협이나 
    사건‧사고, 금전적 피해를 암시하는 등 
    이용자가 무시하기 어려운 방향으로 진화하고 있다. 

    이러한 형태의 스미싱은
    사람의 심리를 이용해
    협박, 불안감을 조성하고 이용자를 설득해 
    문자에 담긴 인터넷주소를 누르게 만든다.

    이렇게 이용자를 유혹하는 스미싱은 
    메시지에 링크된 인터넷 주소를 누르는 순간
    자동으로 악성앱을 설치한다. 

    이는 주소록에 있는 연락처로 같은 
    스미싱 메시지를 무작위로 발송하고,
    스마트폰에 담긴 개인 정보를 탈취해 간다. 

    뿐만 아니라 
    금융사 아이디, 패스워드, 
    계좌번호, 비밀번호, 보안카드번호까지 가져가
    더 큰 금융범죄로 이어질 수 있다. 


  • ▲ 작년 월별 스미싱 악성앱 신고 현황.ⓒKISA



    • 스미싱 유형도 다양하다. 

    돌잔치, 결혼식 청첩장 등의 초대장 유형이나
    택배확인 문자로 가장하기도 한다.

    금융기관을 사칭해
    개인정보 등에 대한 피해를 받아 
    주의를 주는 형식으로 링크를 누르게 한 뒤
    금융정보를 요구하는 유형도 있다. 

    또한 기업을 사칭해 
    할인쿠폰이나 이벤트 쿠폰, 선물 쿠폰으로 
    이용자들을 유혹하기도 한다. 

    공공기관을 사칭해
    [단속에 걸렸다],
    [소송에 걸렸다], 
    [재판에 출석하라]고 하는 등
    링크를 누르도록 유도한다. 


  • ▲ 작년 월별 주요 스미싱 악성앱 변화 추이.ⓒKISA
    ▲ 작년 월별 주요 스미싱 악성앱 변화 추이.ⓒKISA




    • ◆ 스미싱, 당하고 싶지 않다면

    스미싱을 통한 피해를 막기 위해서는 
    출처가 확인되지 않은 문자메시지 인터넷주소는 
    함부로 클릭하지 않는 것이 최우선이다.

    의심스러운 링크는 클릭하지 말고 
    국번없이 118번에 신고하도록 한다. 

    지인에게서 온 문자메시지라 해도
    인터넷주소가 포함된 경우에는 
    누르기 전 상대에게 확인해보는 것이 좋다. 

    혹여 개인·금융정보를 요구하는 경우
    의심해보고 함부로 입력하지 않도록 해야 한다. 

    자신도 모르게 
    악성앱이 설치되는 것을 막으려면
    스마트폰의 보안설정을 강화해 놓아야 한다. 

    안드로이드 기반의 스마트폰인 경우
    환경설정-보안-디바이스 관리메뉴에서
    [알 수 없는 출처]에서도 앱을 
    다운로드 받을 수 있도록 해두었다면 
    해체해 두도록 한다. 

    또한 스마트폰용 백신프로그램을 설치하고
    항상 최신상태로 업데이트 시켜둔다. 

    스미싱으로 인한 
    자동 소액결제 피해를 막기 위해서는
    이통사 홈페이지나 고객센터를 통해
    소액결제를 차단하거나 
    이용 전 비밀번호를 설정해두는 것이 좋다. 


  • ▲ KISA에서 제공하는 보안점검 앱 '폰키퍼'.
    ▲ KISA에서 제공하는 보안점검 앱 '폰키퍼'.



    • ◆ 스미싱 피해 대처 요령

    스미싱으로 인해 금전적 피해를 입었다면 
    경찰서에서 [사건사고사실확인원]을 발급 받는다.

    통신사 제출용으로 받아야 하며
    피해 금액과 발급번호가 기재돼 있어야 한다. 

    또한 이용하고 있는 통신사 고객센터에 
    스미싱 피해를 접수하고 
    발급받은 [사건사고사실확인원]을 제출한다. 

    통신사는 접수 받은 확인원을 통해
    소액결제사에 피해 접수를 이관하고
    접수 수 6일 이내에 소액결제사와 콘텐츠 제공 업체와 협의해
    요금청구를 보류하거나 취소해 준다. 
     
    그리고 이용하고 있는 스마트폰에 
    악성앱이 남아있나 확인한 다음 
    삭제해야 한다. 

    스마트폰에 [다운로드] 받은 앱을 확인한 다음
    스미싱 문자를 클릭한 시점 이후, 
    확장자명이 [apk]인 파일 저장여부 확인하고
    해당 파일을 삭제한다. 

    만약 삭제되지 않는다면 
    휴대전화 서비스센터에 방문하거나
    스마트폰 초기화 시킨다. 

    아울러 백신프로그램을 이용해 
    스마트폰에 설치된 악성코드 등이 남아있는지
    확인해 두는 것이 좋다. 

    이에 KISA에서는
    악성앱 유포 사이트 및 
    정보 유출 서버에 대한 접속 차단은 물론, 
    스마트폰 팝업창으로 신종 스미싱 문구를 
    실시간으로 공지하는 보안점검 앱
    [폰키퍼] 서비스를 제공하고 있다. 

    [폰키퍼]는 
    그간 어떤 내용의 스미싱이 있었는
    확인할 수 있고
    악성앱 설치 여부에 대한 점검을 해준다.

    악성앱이 다운됐을 경우
    이용자에게 악성앱 여부를 알려줘
    피해를 예방할 수 있도록 했다.