스팸 정의·기술적 조치 등 피해예방 위한 제도적 뒷받침 마련돼야 

[보안뉴스 김경애] 갈수록 지능화·고도화되는 스미싱이 잇따라 발생하고 있는 가운데 정부부처와 통신사, 소비자 등을 대표해 스미싱 근절 대책방안을 모색하는 자리가 마련돼 눈길을 모았다.

서울YMCA 시민중계실에서 주최한 이번 토론회는 ‘스미싱 발생, 근절 대책 모색과 소비자 보호방안’(진화하는 스미싱 피해 어떻게 해야 하나?)이란 주제로 서울YMCA 친교실에서 진행됐다.

이번 토론회는 지정토론으로 미래창조과학부 오정택 사무관, 경찰청 사이버테러대응센터 이여정 경감, SKT 방성제 상무, 고려대학교 정보보호대학원 김승주 교수, 한국소비자원 김형철 변호사, 한국전화결제산업협회 김형우 팀장, 잉카인터넷 문종현 팀장 등 정부부처 관계자를 비롯해 산·학·연 관계자들이 모두 참여했다. 다음은 토론내용을 정리한 것이다. 

경찰청 사이버테러대응센터 이여정 경감- 작년 하반기까지만 해도 무료·할인쿠폰을 사칭한 문자와 URL을 포함해 이용한 소액결제 형태가 기승을 부렸다면 올해 5월부터는 개인정보 탈취, 가짜 뱅킹 앱 설치 등 그 수법이 갈수록 진화하고 있다. 이에 따라 경찰청은 △미래부 등과 공동으로 소액결제 이용여부 확인 △1년 이상 미사용시 차단 △금액제한을 권고 등을 진행한 바 있다. 이후 소액결제는 줄었으나 파밍과 결합해 금융정보를 탈취하는 등 신종 수법이 나타나고 있다.

이와 관련 경찰청은 보안사업자 등과 함께 악성코드 분석, 백신 프로그램 업데이트 등 피해 확산 차단에 중점을 두고, 다양한 이해관계자와 결합한 신종범죄에 대해 대응책을 마련할 예정이다.

특히, 금융위, 미래부 등과 협업을 강화할 수 있는 방안을 마련할 예정이다. 이는 스미싱 해커들이 30~40대 전문가로 정부정책, 금융 시스템에 대해 공부하는 등 갈수록 더욱 고도화되고 지능적인 수법으로 공격하기 때문이다.

이용자의 경우 보안의식이 무엇보다 중요하다. 금전적 손실이 가장 많은 파밍 피해자의 경우 다량의 악성코드가 발견됐다. 따라서 백신 설치에 무관심한 소비자들의 보안의식을 강화하는 것이 무엇보다 중요하다.

SKT 방성제 상무- 스미싱 피해 예방을 위해 회사 내부적으로 스미싱과의 전쟁이라고 해도 과언이 아닐 만큼 스미싱 예방에 대해 많은 고민을 하고 있다. 현재 소액결제 과금서비스에서 불법 스팸·스미싱으로부터 안전한 통신 환경을 유지하기 위해 안심메시지 제공 서비스를 진행하고 있다. 불법스팸·스미싱 회선이용 제한을 시행 중이고, 원하지 않으면 통신 과금을 하지 않는 Opt-in 제도를 통신사 중 유일하게 시행하고 있다.

또한, 소액결제 비밀번호 서비스와 함께 ‘웹 발신 알림서비스’ 를 무료로 시범서비스하고 있다. 그러나 소액결제 비밀번호 서비스의 경우 금융기관과 연결돼 있다보니 가입절차가 다소 까다로워 가입자가 적은 편이다.

스미싱으로 인한 문자사용료 발생에 대해 전액 비과금 처리하고 불법 스팸·스미싱으로 인한 소액결제 발생 시 PG(Payment Gateway)사 연계 과금 취소는 물론 관련 CP(Contents Provider)의 일정기간 이용 제한을 요청하고 있다.

그러나 규제해야 할 스팸의 명확한 정의와 그에 따른 책임 소재에 대해서는 명확히 할 필요가 있다. 대부분의 문자는 웹에서 발생하고 있다. 제도는 웹 발신만 표시하도록 하고 있지만 그것만으로는 스미싱을 막을 수 없다. 순식간에 이루어지는 문자 발송에 대해 기술적인 조치가 필요하다.

불법 스팸·스미싱 사전 차단을 위해 네트워크 이상 징후 감지 시 기술적 조치가 허용되어야 한다. 적극적인 스팸·스미싱 차단방법 중에 오차단 발생 시 이통사 면책 방안 도입이 필요하다.

한국전화결제산업협회 김형우 팀장- 공인인증서 유출의 90%(6157건)가 안드로이드 폰에서 이루어졌고 구글 플레이에 등록된 무료앱 중 23%가 매드웨어(단말기내 개인정보를 탈취하는 애드웨어)로 분석되는 등 소비자 피해가 확산되고 있다.

이렇게 피해가 확산되면서 이동통신사 서비스 이용자 전체를 대상으로 스미싱 주의를 당부하는 SMS 문자를 일괄 발송하고 있다. 법적인 책임과 관계없이 관련 사업자간 협의를 통해 구제안을 마련했다.

통신과금서비스 안전결제 협의체를 구성해 신청인에 한해 휴대전화 소액결제 서비스를 제공하는 옵트인(Opt-in) 방식을 도입하고 결제한도 제한조치도 마련했다. 스마트폰은 단순히 전화기능만 수행하던 과거와 달리 PC, 지갑, 열쇠의 기능을 수행하고 있는 만큼 백신 및 스미싱 차단 앱을 설치하는 등 이용자들의 각별한 주의가 요구된다. 또한, 단말기 제조사, OS제조사 등도 이에 대한 예방노력에 협력해야 할 것으로 본다.

정보통신망법 개정안은 옵트인 방식을 법제화했다. 또한, 전기통신사업법 개정 법률안은 웹투폰(web to phone) 문자발송을 제한하는 내용이 포함되어 있다.

고려대학교 정보보호대학원 김승주 교수- 스미싱은 기본적으로 사회공학적 해킹(Social Engineering Hacking)의 한 종류를 말한다. 사회공학적 해킹은 보안의 기술적 허점이 아니라 그것을 다루는 사람의 허점을 이용하는 해킹 방법을 지칭한다.

스미싱은 사회공학적 해킹 범죄라서 근절대책은 없다. 외국의 경우 스미싱은 큰 이슈가 아니지만 국내는 모바일에 기반을 둔 결제 서비스가 많고 원하지 않는 사람도 이용할 수 있기 때문에 발생한다. 근본적으로 보안정책과 보안프로그램이 쉬워야 한다(useable security). 전 금융권과 통신사는 사용자 입장에서 쉽게 만들어야 한다. 이용자는 보안에 대한 인식을 높이고 금적전 투자도 필요하다.

한국소비자원 김형철 변호사- 스미싱 피해 방지를 위해 관련 사업자 등에게 직접적으로 의무를 부과하는 법 규정은 없다. 스미싱은 사기죄의 피해자로 사전 피해예방책이 중요하다고 본다. 실제로 피해가 많이 발생하는 정보통신 소외계층에게 접근할 수 있어야 한다.

SKT의 스미싱 차단건수는 월평균 259만 건으로 전체 문자량에 비해 극소수에 불과하다. 소액결제에 대해 통신사와 결제대행사의 책임과 의무범위를 명확히 해야 한다. 이용자 피해예방과 세부사항을 규율하는 법적근거인 정통망법이 개정 추진 중이나 고시로 정하면 기본권 제한으로 위헌 요소가 있기 때문에 이를 염두에 두어야 한다.

미래창조과학부 인터넷정책과 오정택 사무관- 통신과금 서비스에서 나타나는 고질적인 민원을 해소하고, 신종사기 발생 등 시장환경 변화에 따른 신속한 대응을 위해 법체계 고도화 등을 통한 제도적 개선 노력과 함께  다양한 대책을 강구하고 있다. 또한, 민·관의 역량이 유기적으로 결합된 대응체계 구축이 필요하다.

통신과금 서비스 이용자 보호 위한 법제도 개선방향으로 이동통신 신규가입자가 명시적으로 동의한 경우에만 통신과금 서비스 제공하도록 9월부터 사업자약관을 변경 시행(법 개정 전부터 시행)하고 있다.

또한, 이용자 피해에 대한 책임소재, 콘텐츠 판매자 준수사항 등을 사업자간 계약서에 명확히 하고 ‘안심결제 서비스’ 확산, ‘통신과금서비스 안전결제 협의체’를 통해 신종 사기에 대한 신속한 정보 교환을 가능토록 하는 등 이용자 보호대책을 마련하고 있다.

통신과금 서비스 내용에 대해 명확한 정보를 제공하고, 이용의사를 확인할 수 있는 표준결제창 사용을 의무화하고 있다. 또한, 정보통신망법 개정안에 소액결제에 관한 통신사와 결제대행사의 책임과 의무 범위를 명확히 구분하고, 이용자 피해 예방과 권리구제 등에 관한 세부 사항을 규율(고시)하는 법적 근거 마련을 위한 법 개정을 추진 중에 있다. 향후 악성 콘텐츠제공업체의 사기 결제 시도 및 불법 유인 행위들도 차단해 나갈 예정이다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>