[진화하는 전화금융사기] 인간 관계 침투… ‘공짜 심리’ 자극

경조사나 패스트푸드 할인쿠폰 등 확인 안 하고는 못 배기게 만들어

▲스미싱으로 의심되는 휴대폰 문자.

#11월, 결혼을 앞둔 A씨는 최근 “모바일 청첩장 아직 안 나왔어요. 속지 마세요”라고 카카오톡 프로필 메시지를 바꿨다.

10월이 되면서 결혼 청첩장을 가장한 스미싱 문자가 또다시 활개를 치고 있기 때문이다. 지인들은 혹시나 A씨가 보낸 메시지라고 생각해 단축 주소를 눌렀다. 당연히 악성 앱은 설치됐고 속타는 마음에 A씨에게 이 같은 사실을 털어놨다. 이런 피해를 본 사람들이 많아지자 결혼을 앞둔 A씨는 울상이다.

스미싱이 날로 진화를 거듭하면서 갈수록 교묘해지고 있다. 올 상반기 발생한 스미싱 악성코드 발생 건수가 지난해 같은 기간에 비해 급증, 스마트폰 사용자들의 주의가 요구되고 있다.

안랩에 따르면 2012년 12월까지 스미싱 악성코드가 매월 각각 1~10개 이내로 발견됐으나 지난 1월에는 68개로 증가한 후 2월 174개, 3월 262개로 늘어났으며 5월 들어 345개를 기록했다. 300개를 넘어선 이후 8월 들어서는 725개로 전월 대비 2배 이상 증가했다.

정부에서는 피해자 구제를 위해 다양한 대책을 구상하고 있지만 ‘단축 URL’을 터치해 악성앱을 스스로 설치하는 만큼 이용자의 각별한 주의가 필요하다.

올해 들어 가장 많이 사용되고 있는 악성코드 배포 문자, 스미싱 문자의 특징은 스마트폰 이용자들의 심리를 교묘하게 노리는 게 특징이다.‘인간관계’, ‘이익’, ‘위협’ 3가지 키워드로 나눌 수 있다.

◇‘인간관계’를 침투하다

“저희 아들 이번 주말 첫돌 잔치예요. 초대장 보내 드립니다. 축복해주세요”, “10월 12일 우리 결혼해요^^ 모바일 청첩장이 도착했습니다.”

최근 가장 많이 배포되고 있는 악성 코드는 모바일 청첩장 문자다. 스마트폰에서 결혼식장이나 웨딩사진을 바로 확인하고자 하는 사람들의 심리를 이용해 클릭을 유도한다. 실제로 이 문자를 클릭하면 악성 코드 앱 다운로드 및 설치가 바로 진행된다. 돌잔치, 동창회, 심지어 부고를 가장한 장례식장 알림까지 경조사의 모든 형태를 가장, 클릭을 안 하고는 못 배기게 만드는 것이다.

◇공짜 좋아하는 심리 건들이기 ‘이익’

“베스킨라** 신제품 출시기념 시식권”,“맥도** 버거 무료 쿠폰 도착”

최근 국민권익위원회가 밝힌 스미싱 피해 유형은 대부분 ‘유명 패스트푸드의 무료쿠폰이 전송되었다’는 메시지를 활용하는 것이다. 메시지가 사용자의 스마트폰으로 전송되면 쿠폰을 다운받기 위해 링크를 무심코 클릭했다가 현금 결제가 되는 경우가 대부분이다.

커피, 햄버거, 피자, 제과점 등 유명 패스트푸드의 할인 무료 쿠폰 등이 도착했다는 문자메시지로 사람들을 현혹시켜 클릭을 유도한다.

휴대폰 소액결제 사기의 경우 악성 앱을 통해 코드가 휴대폰에 설치되면 휴대폰 소액 결제시 통상적으로 해야 하는 인증번호 입력과 같은 절차가 진행되지 않는다. 때문에 사용자들은 청구서가 올 때까지 결제 사실을 모르다가 돈이 빠져나갔다는 것을 뒤늦게 아는 경우가 대부분이다.

◇혹시 무슨 일이 생긴건가 ‘위협’, 도메인 .net 은 스미싱 의심

“[법원] 등기 발송하였으나 전달불가(부재중) 하였습니다.”,“[알리미] 형사소송건으로 법원출석서가 발부되었습니다.”

수신자가 주소를 클릭하는 순간 휴대폰 소액결제가 이뤄지게 하는 스미싱 수법이다. 문자와 함께 전송된 링크를 클릭하면 악성 코드를 내포한 앱이 설치돼 소액결제와 결제 정보 등이 빠져나간다. 또한 해당 휴대전화에 저장된 전화번호로 같은 내용의 문자가 대량 발송되기도 해 2,3차 피해로 이어진다.

문자 메시지에 적힌 법원 도메인을 보면 'net'으로 끝나지만, 대한민국 법원의 공식 홈페이지 주소는 'go.kr'로 끝난다.

법원을 비롯한 모든 정부기관 홈페이지의 도메인은 'go.kr'로 한정돼 있기 때문에 'net'으로 끝나는 경우에는 스미싱을 의심해 봐야 한다.

사기를 치겠다는 악의를 품은 해커들과의 경쟁에서 이기기 위해서는 현존하는 스미싱의 종류를 파악하고 대비할 수 있는 태세를 갖춰야 한다

한국인터넷진흥원 전길수 인터넷침해대응센터장은 “3·20 금융망 마비사태에 이어 6·25사이버 테러에서 보듯, 사회 혼란형 해킹에 이어 이제는 금전적 이득을 취하기 위한 보이스피싱, 피싱, 스미싱 등의 해킹수법이 폭증하고 있다"면서 “결국 스미싱 문자를 받고 악성코드가 깔린 앱을 설치하는 주체인 이용자가 보다 각별한 주의를 하는 게 최선"이라고 지적했다.

경찰청은 “스미싱 피해를 예방하기 위해선 출처가 확인되지 않은 문자메시지의 인터넷주소를 클릭해선 안된다”면서 “비록 지인에게서 온 문자메시지라도 클릭 전에 반드시 전화로 확인해야 한다”고 강조했다. 경찰청은 미확인 앱이 함부로 설치되지 않도록 스마트폰의 보안설정을 강화할 것을 주문했다.