스미싱 문자에 포함된 URL 클릭하지 않도록 ‘주의’

이와 관련 본지가 지난 10일부터 16일까지 발생한 스미싱 유형을 살펴본 결과 ‘민원24’, ‘결혼식 초대장’, ‘국세청 환급 내역’, ‘택배’ 등 다양한 스미싱 유형이 골고루 뿌려진 것으로 분석됐다.

‘민원24’ 사칭 스미싱 이번 주도 쏟아져

먼저 ‘민원24’를 사칭한 스미싱은 최근 들어 유독 많이 발견되고 있다. 특히 지난달 말부터 11월 1일, 6일, 7일, 8일, 9일 연달아 발견됐으며, 최근까지도 지속적으로 발견되고 있는 스미싱 유형이다.

한국인터넷진흥원이 운영하는 모바일앱 폰키퍼에 따르면 지난 16일 ‘민원24 분리수거 위반으로 민원이 신고되어 알려드립니다 신고내용보기 **il**e.c**’ 문구와 인터넷주소 URL이, 이보다 앞서 지난 13일에도 ‘쓰레기 투기 http://ho**w**.com’ 문구와 인터넷 주소 URL이 포함된 스미싱 문자가 발견됐다. 

민원 24 사칭 스미싱은 안전행정부에서 운영하고 있는 생활불편 신고 서비스를 악용한 것으로 일반 생활 속에서 발생할 수 있는 쓰레기 분리수거 위반, 쓰레기 투기 등의 이슈로 이용자의 클릭을 유도하는 사회공학적 수법이다. 최근 들어 많이 발생하고 있는 만큼 이용자의 피해도 커질 것으로 우려된다.

특히 민원 24 스미싱에 포함된 인터넷 주소 URL을 실행하면, 민원신고 사이트를 사칭한 가짜 웹사이트로 연결된다. 실제 민원신고 스마트폰 신고 앱과 유사하게 제작되어 사용자들이 구별하기 어려운 점이 특징이다. 따라서 이용자는 해당 스미싱 유형에 각별히 주의해야 한다.

이러한 공공기관 사칭 스미싱은 지난 14일 국세청 사칭도 발견된 바 있다. 발견된 스미싱 문자 내용을 살펴보면 ‘[국세청]환급 내역 조회 안내 http://**o.g*/w**K*N’문구와 URL이 포함돼 있다. 따라서 이용자는 공공기관 사칭 스미싱에 대해 각별히 주의를 기울여야 한다.

단골 스미싱 3인방, 초대장·택배·민방위 가세

이처럼 ‘민원24’와 국세청 사칭 스미싱이 기승을 부리고 있는 가운데 단골 스미싱 3인방인 초대장, 택배, 민방위 사칭 스미싱도 이용자 공략에 가세한 것으로 드러났다.

먼저 지난 15일에는 ‘11월17일 결혼합니다 많은 참석해주시길 바랍니다 장소확인: http://goo.gl/*zt*mJ’ 문구와 인터넷주소 URL이 포함된 스미싱 문자가 발견됐다.

이는 앞서 언급한 생일 초대장과 같은 수법으로 결혼 초대장 문구에 누구 결혼식인지 일부러 밝히지 않고 있는 것이 특징이다. 이용자의 호기심을 유발시켜 클릭을 유도하는 수법이다.

지난 12일은 ‘(민방위) 비상소집훈련 통지 및 장소안내**.tt/8I**st**’문구와 인터넷 주소 URL이 포함된 스미싱 문자가 발견됐다.

민방위 스미싱은 올해 가장 자주 발견된 스미싱 유형 중 하나다. 실제 민방위 통지서는 문자로 전송하지 않는 곳이 대부분이며, 직접 방문해 통보하는 경우가 많기 때문에 해당 스미싱 유형에 속지 않도록 이용자는 각별히 주의해야 한다.

이와 관련 일각에서는 민방위 훈련때 스미싱 주의 교육을 해야 한다는 목소리도 제기되고 있다. 한 보안분야 종사자는 “실제 민방위 훈련 교육에서 민방위 사칭 스미싱을 주제로 교육하는 것도 예방차원에서 유용할 것”이라며 “형식적인 교육보다 실질적인 교육 프로그램 도입이 필요하다”며 설명했다.

이어 또 다른 단골 스미싱 유형인 택배 스미싱도 이번 한 주간 기승을 부린 것으로 나타났다. 지난 11일 ‘죄송합니다 고객님 배송발송되었습니다. sp**.ha**y.mo**’문구와 인터넷 주소  URL이 포함된 스미싱 문자가 발견됐다.  

택배 사칭 스미싱의 경우, 민방위 사칭이나 결혼식 사칭 스미싱 못지 않게 많이 악용되는 스미싱 유형 중 하나다. 또한 택배사이트의 보안 취약성은 앞서도 여러 차례 지적된 바 있어 더욱 이용자들의 주의가 요구된다. 따라서 이용자는 먼저 URL을 클릭하기 전에 해당 택배회사에 전화를 걸어 직접 확인하는 것이 필요하다.

사회적 이슈 노린 스미싱

이번 한 주간 발생한 스미싱 유형중에는 사회적 이슈를 악용한 스미싱도 두드러졌다. 지난 14일에는 ‘여객선 구조 활동 동영상 http://**o.*I/**c*Ax’ 문구와 인터넷 주소가 포함된 스미싱 문자가 발견됐다.

해당 스미싱이 발견된 지난 14일에는 세월호 인양을 두고 찬반 논란 이슈가 있었으며, 이주영 해양수산부 장관이 세월호 침몰사고 희생자 합동 분향소를 방문해 인양문제에 대한 유가족들의 의견을 수렴하는 등 세월호 관련 이슈가 제기됐던 날이다. 즉 공격자가 이러한 이슈를 악용한 셈이다.

이보다 앞서 지난 10일에는 최근 출시된 아이폰6를 두고 각종 이벤트를 사칭한 스미싱이 돌며 이용자를 노렸다. 발견된 스미싱 내용을 살펴보면 ‘8앱다운설치후 아이폰6 이벤트에n당첨자http://**.do/YSX?****’문구와 인터넷 주소가 포함돼 있다. 실제 아이폰6 관련 이벤트가 진행되는 상황에서 이러한 스미싱 문구는 이용자들의 혼동을 유발할 수 있다. 따라서 이용자는 이벤트 문자 수신시 우선 해당 URL을 클릭하지 않도록 각별히 주의해야 한다.

스미싱 피해를 예방하기 위해서는 무엇보다 URL 클릭을 하지 않는 것이 무엇보다 중요하다. 또한 스마트폰 보안설정으로 ‘환경설정>보안>디바이스 관리>알 수 없는 출처’에 V체크를 해제해 알 수 없는 출처의 앱 설치를 제한해야 한다.

스미싱 관련 신고 및 상담은 한국인터넷진흥원(국번 없이 118), 금융감독원(1332), 경찰청(112) 등을 통해 하면 된다.   

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>