“지금까지 공공기관과 지인 사칭(스미싱)은 그렇게 많지 않았는데, 갑자기 2023년도 들어서면서 확 늘어난 상태입니다. 또 고도화된 악성앱의 유형도 다양해졌습니다”
31일 관련 업계에 따르면 김은성 한국인터넷진흥원(KISA) 탐지대응팀장(사진)은 최근 ‘국민생활을 위협하는 스미싱 대응 현황’을 주제로 한 발표에서 “공공기관 사칭 유형을 보면 건강검진이 많았고, 지인 사칭은 청첩장, 부고장 등이 많이 유포됐다”며 주의를 당부했다. 2022년 1만7726건 정도였던 공공기관 사칭 스미싱은 지난해 35만여건으로 급증했다.
스미싱은 문자메시지(SMS)+피싱(Phishing)의 합성어로, 보이스피싱, 피싱메일처럼 상대방을 속여 금전적 이득을 취할 목적의 사기행위에 해당한다. 보통 스미싱 문자는 해커가 URL 클릭과 휴대전화 번호 입력을 유도한 뒤 번호검증을 거쳐 피싱사이트 접속 또는 악성앱 설치를 유도한다. 이후 유출된 정보를 토대로 비대면 금융사기 또는 2차 공격을 시도한다.
김 팀장은 “요즘 스미싱은 전문가들도 URL 등을 구체적으로 보지 않으면 구분하기 어렵다”면서 “과거 스미싱 문자들이 피싱사이트로 피싱사이트로 유도하는 형태가 많았다면 최근엔 악성앱을 설치해서 개인정보를 탈취하고 이를 통한 협박, 금전 탈취까지 일어나고 있다”고 말했다. 악성앱은 보통 정상앱과 달리 과도한 권한을 요구한다.
지난해 탐지된 스미싱 문자는 50만3300건이며 악성앱 분석 대응은 907건에 이른다. 이에 관계 당국은 악성앱 분석 자동화와 대량탐지 긴급차단체계 운영을 통해 악성앱 조기 차단에 나섰다. 기존에 분석가에 의한 악성앱의 악성행위를 찾아 유포지 및 정보유출지를 차단했다면 이제는 자동분석 후 유포지를 선차단하는 형태로 국민 피해 최소화에 나섰다. 이로써 기존에 3시간 가량 걸리던 차단 시간도 10분으로 크게 단축했다.
더 나아가 KISA는 카카오톡을 통해 수신문자에 대한 스미싱 여부를 KISA가 직접 확인해주는 ‘스미싱 확인 서비스’를 도입했다. 카카오톡에서 ‘보호나라(KISA 인터넷침해대응센터)’ 채널을 검색해 친구 추가를 하고 채널 내 스미싱을 클릭한 뒤 스미싱 문자를 복사해 붙여넣기 하면 ‘주의’, ‘악성’, ‘정상’ 등의 결과값이 나온다.
김 팀장은 “일반 문자에는 스팸 신고하기 버튼이 있지만 카카오톡 등에는 신고 버튼이 없는데, 그렇다고 저희가 별도 앱을 만들면 저희 앱을 사칭할 수도 있어 국민들이 가장 많이 쓰는 플랫폼에서 이용할 수 있도록 했다”며 “절차의 복잡성은 조금 있지만 일단 국민들이 먼저 알고 싶어하는 답변을 해소시켜줘야겠다는 생각에 현재 채널 형태로 운영하게 됐다”고 설명했다.
solidkjy@fnnews.com 구자윤 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지