(서울=뉴스1) 윤주영 기자 = 최근 사회관계망서비스(SNS) 계정에 이상이 생겼다는 가짜 알림으로 이용자를 현혹해 로그인 정보를 탈취하는 스미싱이 급증하고 있다. 특히 국외발신 문자가 와도 의심이 덜한 '텔레그램'의 이용자가 타깃이 된다는 분석이다.
31일 김은성 한국인터넷진흥원(KISA) 스미싱대응팀장은 간담회를 갖고 2022년부터 올해 2월까지의 스미싱 현황을 공유했다.
스미싱은 문자(SMS)와 피싱이 합쳐진 말로, 공격자는 문자에 악성 애플리케이션(앱) 설치나 가짜 웹사이트 링크를 심는다. 이를 클릭해 앱을 내려받거나 민감 정보를 입력하면 단말 권한 탈취, 금융 정보 유출 등 피해로 이어진다.
2022년 KISA가 탐지한 전체 스미싱 건수는 3만 7000여 건이었으나, 이후 꾸준히 증가해 지난해 약 219만 6000건이 탐지됐다. KISA가 보호나라 등 신고 창구를 확대해 수면 아래 공격이 드러난 점도 있지만, 수치상으로 60배가 증가한 것이다.
김 팀장은 "텔레그램 계정 탈취는 스미싱 신고로는 잘 안 이어져서 부각되지 않았다"며 "텔레그램에서 오가는 은밀한 대화를 확보해 이용자를 협박하거나, 로맨스 스캠 대포 계정을 확보하려는 목적이 아닐까 싶다"고 추측했다.
이어 "'6시간 내 인증' 등 촉박한 시간 설정으로 이용자를 조급하게 만드는 수법도 확인된다"고 덧붙였다.
가짜 부고장, 청첩장 등을 보내는 지인 사칭도 조심해야 한다. 특히 최근엔 010 등 개인번호나 실제 지인 번호로 문자를 보내는 방식으로 진화했다. 악성 앱으로 단말기 권한을 탈취한 뒤 저장된 연락처로 공격을 유포하는 것이다.
이 밖에도 카드발급·배송·결제 관련 미끼문자가 조심해야 할 유형으로 소개됐다.
사용자는 기본적으로 문자 내 수상한 URL을 클릭하거나 개인정보를 입력해선 안 된다.
또 최근엔 보안당국을 피해 전화로 원격 조작 앱의 설치를 유도하는 경우도 많다. 정부기관·금융회사는 원격제어 앱, 심지어 정상 스토어에 등록된 앱이라도 설치를 요구하지 않기 때문에 이를 따라선 안 된다.
한편 피싱으로는 '큐싱'이 소개됐다. URL이 아닌 QR코드로 악성 웹사이트·앱을 유포하는 공격이다.
김 팀장은 "아직 국내 피해가 통계로 잡히진 않았지만 중국이나 동남아시아 등 QR이 보편화한 국가에서 문제로 떠오르고 있다"며 "오프라인에서 스티커 형태로 QR이 배포되면 추적이나 차단도 어렵다. 국내로 확산할 시 어려움이 예상된다"고 설명했다.
KISA는 선제적으로 카카오톡 보호나라 채널에 큐싱 확인 서비스를 올해 1월 개시했다. QR이 연결하는 인터넷 주소의 악성 여부를 판별해 준다.
이외에도 기관은 방화벽, 침입방지시스템(IPS) 등 기존 보안 개념을 스미싱 대응에 접목한 '악성문자 X-레이 시스템'을 마련할 계획이다. 악성 링크나 전화번호 등 데이터베이스(DB)를 대량문자 발송 사업자에 공유하므로써 발송 자체를 원천 차단하게 만드는 것이다.
legomaster@news1.kr
