"화상면접 보래서 다운받았는데"…취준생도 울린 '은밀' 스미싱

(서울=뉴스1) 윤주영 기자 = #. 취업준비생 A씨는 최근 한 회사로부터 이력서가 마음에 든다며 면접을 보라는 문자를 받았다. 담당자는 화상 면접 애플리케이션(앱)이라며 설치 링크(URL)를 이메일로 보냈고, A씨는 이를 내려받은 뒤 안내에 따라 앱에 단말 접근 권한 등을 부여했다. 다음 날 새벽 A씨는 누군가 본인 명의로 대포폰을 개설 후 비대면 대출을 받은 것을 확인했다.

1일 한국인터넷진흥원(KISA)에 따르면 최근 공격자들은 기관의 스미싱(문자 기반 피싱) 탐지·차단을 회피하고자 악성 앱 URL을 이메일, 사회관계망서비스(SNS) 채팅방에서 유포하는 전략을 취한다.

악성 앱을 통해 휴대전화, PC 등 단말 권한이 탈취되면 공격자는 계좌, 연락처 등 민감정보를 빼돌릴 수 있고 이는 금전 탈취 등 범죄에 활용된다.

기관이 악성 앱 데이터베이스(DB)를 통해 URL 첨부 문자를 분석하자, 공격자는 감시가 덜한 채널로 피해자를 유인하는 것으로 스미싱 전략을 바꿨다. 이른바 '미끼문자'인데 최근 보고되는 "귀국해서 연락드려요. 라인 아이디로 연락주세요" 등 사례가 대표적이다.

이동연 KISA 국민피해대응단장에 따르면 미끼문자에는 발신 번호 변작까지 쓰인다. 공격자가 공공기관·기업 심지어 지인 등을 사칭해 신뢰를 얻는 것이다. 비대면 서비스가 활발했던 2020~2021년에는 택배사 사칭이 많았고, 최근엔 과태료 안내 부과 등 공공기관 사칭이 대부분을 차지한다.

기관이 최근 제보받은 사례처럼 취업난 청년층 심리를 파고들어 인사 담당자를 사칭하는 수법도 나왔다.

공격 수법이 지능화하는 만큼 스미싱 탐지 건수도 증가 추세다. 기관이 탐지한 스미싱 건수는 2022년 3만 7000여 건에서 올해 약 150만 건으로 4배 이상 뛰었다. 최근 국회 과학기술방송통신위원회 국정감사에서도 지적된 사항이다.

KISA는 이동통신사, 스팸 설루션사 등 민간업체와 함께 데이터베이스 구축, 탐지 대응 등 협력을 강화하고 있다. 삼성전자(005930)와 협력해 단말에서 악성 메시지를 자동으로 필터링하는 기능을 최근 갤럭시 스마트폰에 적용했다.

이 밖에도 석지희 KISA 보이스피싱대응팀장은 "공공기관이 보낸 문자임을 인증하는 안심마크 서비스도 2022년 도입해 올해 최대 280곳 기관으로 확대됐다"며 "삼성전자와 협력해 안심마크에 동적 효과를 넣어 위변조를 방지하는 기능을 추가할 예정"이라고 소개했다.

이어 "인터넷 발송 대량문자 등에 최초 발신자 식별코드를 삽입해 번호 변작이 어느 업체에서 발생했는지 추적하고 있다"고 덧붙였다.

수신된 문자를 분석하는 것도 중요하지만 발신 단계부터 범죄를 차단하는 것도 필요하다.

이 단장은 "미끼 문자는 많은 경로를 거쳐 전달되는데 차단 의무를 다하지 못한 중간 유통업체도 어느 정도 책임을 져야 할 것"이라고 지적했다.

이어 "SNS 채팅으로 스미싱이 옮겨가는 추세라 (플랫폼 등) 업체에선 주의를 환기하는 장치를 마련했으면 한다"고 덧붙였다.

legomaster@news1.kr