택배 사칭, 선물 발송 등 사칭...4차 재난지원금 및 연말정산 등 시기성 있는 이슈도 악용
메시지에 포함된 URL 클릭하지 말고, 자세한 정보는 다른 경로로 직접 확인해야

[보안뉴스 이상우 기자] 설 연휴가 다가왔다. 올해는 코로나19의 영향으로 고향을 방문하는 대신 ‘비대면 명절’을 보내는 가정도 많을 것이다. 이처럼 감염병 확산으로 명절을 보내는 문화는 바뀌었지만, 명절을 노린 각종 사기 수법은 여전히 극성이다. 정부에서도 이번 설 연휴 기간에 스미싱, 피싱, 보이스피싱 등 각종 사기가 성행할 것으로 예상해 국민에게 대응방법을 안내하고, 장기적으로는 기술적 조치를 통해 보이스피싱이나 대포폰을 이용한 범죄 등 금융사기를 예방하겠다고 밝혔다.


그렇다면 이번 설 연휴, 우리가 흔히 접할 수 있는 스미싱 문자 메시지는 어떤 종류가 있을까? 가장 전통적인 공격은 택배 미수령과 관련한 내용이다. 설이나 추석은 가족이나 친척, 지인 등과 선물을 주고받는 사람이 많은 만큼 택배를 통한 물류도 늘어나는 시기이며, 문자 메시지나 메신저 등을 통해 택배 수령과 관련한 알림도 많아진다. 공격자는 이러한 상황을 노려 택배 회사를 사칭하고, 미수령한 택배가 있는 것처럼 속인다.

가령 ‘[OO통운] OOO님 도로명 주소 입력 요망’ 같은 메시지와 함께 URL을 전송한다. 해당 URL로 접속할 경우 마치 택배사 홈페이지와 유사한 피싱 사이트를 만들고 추가적인 진행을 위해 악성 앱 설치 파일을 내려받은 뒤 실행하도록 유도한다. 이를 안드로이드 스마트폰에 설치할 경우 악성 앱을 통해 각종 금융정보나 추가적인 개인정보가 유출될 수 있으며, 직접적인 금전적 피해는 물론, 유출된 개인정보를 통한 2차적인 피해까지 이어질 수도 있다.


과거 이러한 유형의 스미싱은 안드로이드 스마트폰을 대상으로 이뤄지는 경우가 많았다. iOS 기기의 경우 외부 파일을 통한 악성 앱 설치가 어렵기 때문이다. 때문에 최근 공격자는 피싱 사이트를 통해 사용자 스마트폰 운영체제를 파악하고, 각 운영체제에 맞춘 공격을 시도하는 것으로 진화했다. 동일한 URL로 접속하더라도 안드로이드에서는 apk 파일 설치 안내를, iOS에서는 개인정보 입력을 유도하는 방식이다. 이번 설 연휴의 경우 온라인을 통해 선물이나 상품권을 전달하는 경우가 늘어날 전망이며, 네이버나 카카오 등 주요 쇼핑 및 선물하기 플랫폼을 사칭해 해당 계정정보 입력을 유도할 가능성도 있다. 가령 ‘[카카오톡 선물하기] 배송지 주소 입력을 위해 로그인이 필요합니다(유효기한 2월 10일)’ 등의 내용과 함께 URL을 전송하고, 해당 페이지에서 카카오톡 로그인을 사칭하며 계정 정보를 요구할 수 있다.

4차 재난지원금과 관련한 스미싱 역시 이번 설 연휴를 시작으로 늘어날 전망이다. 정부는 현재 4차 재난지원금 3월 지급을 목표로 정책을 추진하고 있다. 이와 관련해 재난 지원금 신청 등을 사칭하며 각종 개인정보를 요구할 수 있다.


실제로 지난 1월 초에도 3차 재난지원금 지급 발표 시기에 맞춰 이를 사칭한 스미싱이 이뤄졌으며, 공격자는 스미싱을 통해 카카오톡 오픈채팅으로 피해자를 유도했다. 일방적으로 보내는 문자 메시지보다는 카카오톡 등 쌍방향 메신저를 이용해야 상대방을 더 속이기 쉽기 때문이다. <보안뉴스>가 해당 공격자에게 속은 것처럼 위장해 말을 걸어보니 위조한 지원금 신청서를 내밀며 계좌번호, 휴대전화번호, 주민등록번호, 주소 등 개인정보 입력을 요구했다. 자영업자 등 코로나19로 인해 경제적 피해를 입은 사람이라면 이러한 사기에 속아 각종 개인정보를 넘겨줄 가능성도 큰 만큼 주의가 필요하다.

연말정산과 관련한 사칭 역시 이 시기에 주로 발생한다. 2020년도 귀속 연말정산은 오는 2월 28일까지 진행되며, 사이버 공격자는 이 기간에 ‘국세청’이나 ‘소득공제’ 등의 키워드를 통해 사용자를 속인다. 가령 ‘[국세청] 환급 내역 조회 안내’나 ‘2020년 신용카드 소득 공제용 사용 내역’ 등의 제목으로 문자 메시지와 URL을 전송한다. 문자 메시지에 포함된 URL을 누를 경우 홈택스로 위장한 사이트를 통해 개인정보 및 금융정보 입력을 유도할 수 있다. 특히 최근 국세청은 카카오, 이동통신3사 등 민간 인증서를 도입한 만큼 ‘민간 인증서 발급’이라고 속여 각종 서비스의 계정정보 입력을 요구할 수도 있다.


이러한 스미싱 피해를 예방하기 위해 과기정통부, 방통위, 금융위, 경찰청 등 유관기관과 이동통신 3사는 설 연휴 스미싱 및 피싱 사기에 속지 않도록 안내 메시지를 발송했다.

주요 내용은 문자메시지, 소셜 미디어 등을 통해 코로나19 재난 지원금, 대출 상담, 연말정산 및 설 택배 배송 확인 등을 빙자해 알 수 없는 URL로 접속을 유도할 경우 절대 이를 누르지 말고, 한국인터넷진흥원(118)에 신고하라고 안내한다.

앞서 언급한 것처럼 문자 메시지에 포함된 URL은 교묘하게 위장한 피싱 사이트로 사용자를 유도할 수 있으며, 이를 통해 악성 앱을 설치하거나 개인정보 입력을 유도한다. URL을 누르는 것만으로는 즉시 피해가 발생하지는 않지만, 이를 누른 사용자는 이미 공격자에게 어느 정도 속았을 가능성이 높으며, 가짜 사이트에 개인정보를 입력하거나 악성 앱을 내려받아 설치할 가능성도 크다. 이에 상대방이 보낸 문자 메시지 내용이 조금이라도 의심스러우면 URL을 누르지 않는 것이 가장 안전하다.

보이스피싱에 대해서도 가족, 지인인지 의심스러울 경우 유선전화나 다른 휴대전화를 이용해 본인과 직접 통화해 확인하는 것이 좋다. 최근 ‘휴대전화가 고장났다며 급하게 돈이 필요한데 사정상 구글 기프트카드로만 받을 수 있다’는 식으로 속여 금품을 요구한다. 이를 확인하기 위해 유선전화나 타인의 휴대전화를 이용해야 하는 이유는 이미 피해자의 스마트폰에 악성 앱이 설치돼 전화를 걸어도 다른 번호로 연결되도록 조작할 가능성도 있기 때문이다.

스미싱이나 보이스피싱 같은 사기는 마음이 조급해지면 더 쉽게 속는다. 범죄자는 가족이나 지인에게 사고가 났다며 혼란스럽게 하고, 당장 필요한 재난지원금을 빠르게 처리해주겠다며 안심하게 한다. 피해를 입지 않으려면 문자 메시지나 통화 내용을 다시 한 번 확인해보고, 조금이라도 의심된다면 우선 이를 피하고 다른 경로로 정보를 알아보는 것이 올바른 대처방법이다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>