활개치는 스미싱에 2차 피해확산… “누구도 믿지 못해”

[천지일보=김일녀 기자] “독도는 우리 땅. 찜해주시고 많은 성원 부탁합니다.” 25일 독도의 날, 이런 문자메시지를 받은 이들 중 애국심이 깊은 사람이라면 문구와 함께 포함된 단축 URL을 꾹 눌렀을지 모른다. 만약 눌렀다면, 누른 그 순간 악성 애플리케이션(앱)이 다운로드 되면서 개인정보가 유출되거나 결제를 유도하는 스미싱을 당한 것이다.

지난해부터 집중적으로 발생한 스미싱 범죄는 쿠폰·상품권을 사칭한 문자에서 올해 들어 모바일 결혼 청첩장, 돌잔치 청첩장 등의 내용으로까지 확산됐다. 최근에는 경찰·검찰·국세청 등 신뢰할만한 공공기관을 사칭한 문자메시지가 늘어나면서 피해가 급증하고 있다.

실제 지난 3분기 스미싱 상담 건수가 전분기에 비해 급증했다. 23일 국민권익위원회가 정부 민원을 상담하기 위해 운영 중인 110 정부민원안내콜센터에 3분기 중 접수된 보이스피싱 피해를 분석한 결과, 지난 2분기 다소 감소했던 상담 건수가 3분기 396건으로 64%나 증가했다.

지난 22일 국민건강보험공단 부산지역본부에 따르면 “건강보험 무료암검진 대상입니다”라는 문구와 함께 악성앱이 깔리는 URL이 포함된 문자가 발송되는 사례가 발견됐다. 보험공단에서 보내는 문자에는 공단 홈페이지 외에는 URL 주소가 없다는 게 공단의 설명이다.

도로교통법 위반 안내 메시지를 가장한 스미싱 문자메시지도 발견됐다. ‘2013형 제330-13220호’라는 사건 번호와 함께 기소내용을 볼 수 있는 URL주소가 포함돼 있고, 특히 발신 번호가 일반 휴대전화 번호로 돼 있어 문자를 받은 사람들이 속아 넘어가기 쉽다.
지난 14일에는 “여신금융협회 000님의 가용포인트는 135, 050원입니다. 내역확인+URL주소” 문자가 유포되기도 했다.

스미싱은 휴대전화 문자메시지(SMS)와 피싱(Phishing, 금융기관이나 전자상거래 업체를 사칭해 금융정보를 빼내는 일)의 합성어다. 말 그대로 문자메시지를 이용한 전화사기다. 궁금증을 유발하는 문자 메시지에 추가로 확인해야 할 내용을 담은 것처럼 보이는 웹사이트 주소를 링크시켜 놓는다. 이 링크를 클릭하는 순간 스마트폰에는 악성 앱이 설치되고, 이 악성코드는 사기단에 사용자 전화번호로 소액 결제한 인증번호를 전송한다. 그러면 사기단은 인증번호를 이용해 소액결제를 하게 되고 대금은 사용자에게 청구된다.

스미싱 수법이 갈수록 진화하면서 피해도 급증하고 있다. 경찰청 통계 조사에 따르면 지난해 2182건으로 집계된 스미싱 피해현황은 올해 1~8월 2만 3090건으로 10배가량 증가했다. 같은 기간 피해액도 5억 원에서 44억 원으로 8배 이상 증가했다. 악용된 앱도 지난해 17개에서 올해 7월 997개로 60배 가까이 급증했다.

2차적인 피해도 확산되고 있다. 가장 큰 문제는 사회 전반적으로 신뢰하지 못하는 분위기가 형성되고 있다는 점이다. 지인으로부터 온 문자도 믿지 못하고 의심부터 하는 것은 물론, 유통·서비스업계가 보낸 홍보성 문자는 받자마자 바로 삭제하기 바쁘다.

은행권 모바일뱅킹 이용률도 크게 떨어졌다. 이용을 하더라도 단순 조회 업무에 그치는 것으로 나타났다. 한국은행에 따르면 모바일뱅킹 이용건수는 하루 평균 2056만 건에 달했으나 이중 90.4%가 단순조회 업무에 불과했다. 처리속도가 느린 것도 문제지만 취약한 보안에 불만이 높은 분위기다.

스미싱 피해를 예방하기 위한 최선의 방법은 스스로 조심하는 것이다. 이스트소프트는 24일 “낯선 번호로 수신된 메시지의 URL은 클릭하지 말아야 하고, 클릭을 했더라도 앱 설치파일(apk)이 다운로드 됐다면 절대로 설치하면 안 된다”고 강조했다. 아울러 “스마트폰 사용자들은 보안을 위해서 모바일 백신을 반드시 설치하고, DB업데이트를 항상 최신으로 유지해야 한다”고 당부했다.

스미싱 피해를 당했을 경우에는 해당 지방경찰서에서 ‘사건사고 사실확인원’ 서류를 발급받아 이동통신사와 게임사, 결제대행사 등 관련 사업자에 제출하면 된다. 하지만 절차가 복잡하고 피해 사례가 늘면서 처리가 지연되는 경우가 많아, 피해자들의 불만이 높은 상황이다. 이에 이러한 금융사기를 막기 위해서는 상시 모니터링, 즉각적인 사이트 차단 등의 대책이 유기적으로 이뤄질 수 있도록 전담 컨트롤 타워가 구축돼야 한다는 게 전문가들의 지적이다. 근본적인 예방을 위해서는 온라인상에서 이뤄지는 본인 확인제도를 줄여야 한다는 주장도 나오고 있다. 온라인 결제를 위해서는 주민등록번호, 휴대폰 번호 등 개인정보를 입력해야 하기 때문이다.