악성 스팸과 보이스피싱 피해 예방을 위한 전략

스미싱과 스팸의 급증

스팸, 스캠, 보이스피싱 피해를 줄이기 위해 다양한 방안들이 논의되고 있지만, 그 중에서도 가장 중요한 것은 사용자들의 경각심을 높이는 것입니다. 최근 급증하는 스미싱과 스팸 문자는 그 방법이 점점 더 교묘해지고 있습니다. 특히 "리딩방 스팸"과 같이 투자 정보를 제공하는 척하는 스미싱 메시지들이 대표적입니다. 이들은 "급등주 무료로 받기", "일주일 수익 85%" 등의 문구로 사람들의 관심을 끌며, 특정 웹사이트로 연결되는 URL을 포함하고 있습니다. 이 링크를 클릭하면 가짜 사이트로 연결되어 개인정보 탈취나 악성 앱 설치를 유도합니다. 이 같은 스미싱 메시지는 단순한 광고를 넘어 사용자의 개인정보와 금전을 탈취하는 범죄 행위로 발전하고 있습니다.

다양한 사칭 수법

유사투자자문업 외에도 다양한 사칭 수법이 존재합니다. 관세청을 사칭하여 가짜 택배 보관 문자를 보내거나, 은행을 사칭해 계좌 확인을 요구하는 등, 이러한 사기 수법은 날로 교묘해지고 있습니다. 2010년대 초반에 유행했던 대리운전 안내 같은 단순 홍보성 문자메시지와는 차원이 다릅니다. 스미싱 메시지는 정교하게 만들어져 정상적인 웹사이트처럼 보이지만, 실제로는 개인정보나 금품을 탈취하는 목적으로 만들어집니다. 링크를 클릭하면 APK 파일이 자동으로 내려받아지며 악성 앱이 설치되기도 합니다. 이러한 악성 앱은 스마트폰을 완전히 장악하고 사용자 몰래 원격 조작할 수 있는 상태로 만듭니다.

악성코드와 좀비 스마트폰

악성코드가 포함된 스미싱 메시지를 통해 스마트폰은 먹통이 되고, 스캠 조직이 원격으로 조작할 수 있는 "좀비화"가 될 수 있습니다. 예를 들어 "급등주 수익 예상" 문자에 포함된 URL 주소를 클릭하면 "보안 앱을 깔라"는 안내를 받게 되는데, 이는 가짜 보안 앱으로 진짜 보안 앱을 삭제하고 권한을 탈취합니다. 사기꾼들은 이렇게 장악한 스마트폰을 통해 랜섬웨어 공격을 감행, 데이터를 암호화하고 금품을 요구하기도 합니다. 국가사이버안보센터에 따르면, 국내뿐 아니라 해외 금융사나 거래소까지 위장한 사이트가 59건이나 발견되었습니다. 이들은 유안타T, KB플러스, SH알파, 하나INT 같은 이름을 사용하며, 이름과 로고까지 똑같이 만든 경우도 있습니다.

스팸 문자의 폭증 원인

스팸 문자의 급증과 함께 스미싱도 늘고 있습니다. 방송통신위원회와 한국인터넷진흥원에 따르면, 스팸 음성·문자 건수는 2019년 3112만 건에서 지난해 3억 268만 건으로 9.7배 폭증했습니다. 스팸 문자의 폭증 원인은 다양합니다. 휴대전화 단말기의 스팸 신고 기능이 개선되어 통계에 잡히는 건수가 늘었고, 자본시장법 개정안 시행을 앞두고 리딩방 호객용 스팸이 기승을 부리는 것도 원인 중 하나입니다. 가장 큰 원인은 문자재판매사업자 업체들이 해킹당해 대량 SMS 서비스를 통해 스팸 문자가 전송되기 때문입니다. 방통위는 이를 막기 위해 "대량문자전송사업자 전송자격인증제 자율운영 가이드라인"을 시행하고 있습니다.

스미싱과 스캠의 피해

스미싱과 스캠 피해는 고스란히 사용자에게 돌아갑니다. 방통위와 인터넷진흥원에 따르면, 스팸 문자는 도박이 47.4%로 가장 큰 비중을 차지했고, 불법 대출 20.7%, 금융 11.5%, 성인 콘텐츠 6.5% 순이었습니다. 더욱 심각한 것은 공공기관을 사칭한 보이스피싱이 증가하고 있다는 점입니다. 경찰청에 따르면, 기관 사칭형 보이스피싱 건수는 지난해 1만1314건으로 전년 대비 34% 증가했으며, 피해액도 2364억원으로 늘어났습니다. 이러한 보이스피싱은 경찰이나 정부 기관을 사칭하여 사용자의 금융 정보를 탈취하고 금전을 요구하는 방식으로 이루어집니다.

스미싱의 정의와 작동 원리

스미싱은 문자메시지(SMS)와 피싱(Phishing)의 합성어로, 스팸 문자를 대량 발송해 악성 앱 설치를 유도하고 금품을 탈취하는 것을 가리킵니다. 스캠은 다른 사람을 속여 금전적 이익을 취하는 부정 행위를 가리키며, 문자메시지, 이메일, 웹사이트, 전화 등을 통해 이루어집니다. 스미싱 공격은 문자 메시지를 통해 악성 링크를 클릭하도록 유도해 피해자의 개인정보를 탈취하거나 금전적 피해를 입히는 방식으로 이루어집니다.

스미싱 공격의 증가 요인

Proofpoint의 2023년 피싱 현황 보고서에 따르면, 조직의 76%가 2022년에 스미싱 공격을 경험했다고 합니다. 이는 사람들이 문자 메시지의 링크를 클릭할 가능성이 높다는 사실을 해커들이 알고 있기 때문입니다. 또한, BYOD(Bring-Your-Own-Device)와 원격 근무가 증가하면서 모바일 장치를 통한 공격이 더욱 쉬워졌습니다. 스미싱 공격은 사기꾼이 가짜 메시지와 악성 링크를 사용하여 사람들을 속이는 방식으로 이루어지며, 이는 다른 유형의 피싱 공격과 유사합니다. 다만, 문자 메시지나 메시징 앱을 사용한다는 점에서 차이가 있습니다. 사기꾼들은 피해자가 문자 메시지의 링크를 클릭할 가능성이 높다는 연구 결과를 바탕으로 스미싱을 선택합니다.

다양한 스미싱 사기 수법

스미싱 사기의 유형에는 금융 기관 사칭, 정부 기관 사칭, 고객 지원 사칭, 배송 업체 사칭, 상사 또는 동료 사칭, 잘못된 번호로 문자 보내기, 계정 잠금 메시지, 무료 앱 제공 등이 있습니다. 이들 사기는 피해자의 감정을 조작하여 사기꾼의 명령을 따르도록 유도합니다. 금융 기관 사칭 스미싱은 은행으로 위장하여 피해자의 계좌 정보를 탈취하려 하며, 정부 기관 사칭은 경찰이나 IRS 등의 공무원을 가장하여 벌금이나 세금을 요구합니다. 고객 지원 사칭은 피해자의 계정에 문제가 있다고 주장하며, 배송 업체 사칭은 가짜 배송 문제를 빌미로 개인정보를 요구합니다. 상사 또는 동료를 사칭한 스미싱은 직장 내 신뢰를 악용하며, 잘못된 번호로 보내는 스미싱은 피해자와 대화를 시작해 신뢰를 쌓으려 합니다. 계정 잠금 메시지는 다단계 인증 코드를 요구하며, 무료 앱 제공은 악성 앱을 설치하도록 유도합니다.

스팸, 스캠, 보이스피싱 피해를 줄이기 위한 방안

스팸, 스캠, 보이스피싱 피해를 줄이기 위해서는 사용자들의 경각심을 높이고, 관련 기관의 지속적인 모니터링과 대응이 필요합니다. 또한, 사용자들은 의심스러운 메시지나 링크를 클릭하지 않도록 주의해야 하며, 보안 소프트웨어를 최신 상태로 유지하는 것이 중요합니다. 정부와 기업도 이러한 사기 수법을 근절하기 위한 정책과 기술적 대응 방안을 마련해야 할 것입니다. 지속적인 교육과 홍보를 통해 사용자들이 사기 수법에 대한 인식을 높이고, 스팸과 스캠에 대한 경계를 늦추지 않도록 하는 것이 중요합니다. 사용자 스스로도 항상 최신 정보에 귀 기울이고, 의심스러운 메시지는 즉시 신고하는 습관을 가져야 합니다.