잘못된 클릭 한번에 4억 증발…추석 맞아 스미싱 공격 피해주의보
부고 문자 이어 빅테크 사칭까지, 스미싱 차단 앱 설치하고 출처 불명 URL 조심해야"택배 수신 주소가 잘못돼 정정이 필요합니다."
부산 사상구 A씨는 최근 해당 문자를 받고 무심코 첨부된 인터넷주소(URL) 링크를 클릭했다가 평생을 모은 재산 3억8천만원을 통째로 잃어버렸다. 링크를 클릭하자마자 원격제어 앱이 설치됐고 이후 휴대전화가 먹통됐다. 공격자는 A씨 신분증을 도용해 모바일 OTP를 생성 후 돈을 이체한 것이다.
추석이 다가오면서 스미싱 공격이 기승을 부리고 있어 주의가 요구된다. 스미싱은 문자메시지(SMS)와 '개인정보 낚시'인 피싱(Phising)의 합성어로 악성 앱 설치를 유도하는 휴대전화 문자 메시지를 대량으로 전송해 금융 정보 등을 탈취하는 사기 수법이다.
다양한 방식으로 변모하는 스미싱 문자유형. 추석 연휴를 앞두고 스미싱 공격이 늘고 있어 주의가 요구된다.
28일 보안업계에 따르면 피싱 공격자는 URL 클릭을 유도해 악성앱을 설치하고 각종 개인정보를 탈취 후 카드 정보 도용 등 2차 피해를 일으킨다. 지인이나 택배, 공공기관, 사회적 이슈, 유명인 사칭 등으로 관심을 끄는 다양한 형태의 문자메시지를 발송해 속기 쉽다.
특히 택배기사를 사칭해 '주소불명으로 배송이 불가능하다'는 스미싱은 전체 스미싱의 85% 가량을 차지할 정도로 흔한 유형이다. 하지만 추석 등 명절이 다가오는 경우 실제 택배를 이용하는 경우가 많아 이러한 공격은 치명적으로 작용해 주의가 필요하다.
◇뛰는 놈 위에 나는 놈…넷플릭스 계정 만료, 부고 스미싱까지
스미싱 공격은 유명 플랫폼을 사칭하는 방식으로 다양하게 변신하고 있다. 안랩은 '넷플릭스 구독 갱신 및 계정확인'을 위장한 피싱 공격 사례를 발견했다며 사용자 주의를 당부했다. 공격자는 '구독이 만료됩니다(Your Subscription is about to expire)'라는 제목의 피싱 메일을 유포했다.
해당 메일에는 netflix(넷플릭스)와 유사한 'netfix'라는 단어를 포함한 악성 URL이 포함됐다. 해당 URL을 누르면 '당신이 사람인지 확인하시오'라는 메시지가 뜨는 가짜 보안접속 확인 페이지로 연결된다. 이후 사용자 이름과 신용카드 정보(카드번호·만료일자·CVC번호), 주소 등을 입력을 유도한다.
넷플릭스 피싱 가짜 보안접속 확인 페이지
최근에는 인터파크 쇼핑을 사칭한 스미싱 문자가 기승을 부려 논란이 됐다. 공격자는 인터파크 쇼핑 고객센터 대표번호로 거짓표시(변작)해 불특정 다수에게 '8월22일 택배. 미배달 도로명불일치 변경요망.'이라는 스미싱 문자를 전송했다.
경기도 연천군에서는 스미싱 주의보가 내려지기도 했다. 해당 군 소속 공무원들에게 '부모님께서 별세 하셨기에 아래와 같이 부고를 전해 드립니다.'라는 제목의 스미싱 문자가 발송됐다. 연천군수는 첨부링크를 열람하지 말고 삭제하라고 지인들에게 보내기도 했다.
한국인터넷진흥원(KISA)에 따르면 올해 상반기 피싱사이트 차단건수는 전년 동기 대비 2.6배 증가한 4천181건으로 나타났다. 사이버 침해사고 신고 건수는 664건으로 지난해 같은 기간 대비 약 40% 증가했다.
◇스미싱 예방 및 대응 방법은?
전문가들은 스미싱 예방을 위해 통신사별로 제공되는 스미싱 차단 앱 설치를 권고한다. SK텔레콤은 T스팸필터링, KT는 스팸차단, LG유플러스는 U+스팸차단 서비스가 대표적이다. 또한 필요한 경우가 아니라면 통신사를 통해 소액결제 금액을 차단하거나 소액으로 제한해야 한다.
특히 출처가 확인되지 않은 메시지의 URL은 반드시 클릭하지 않는 것이 가장 중요하다. 이와 함께 공인된 오픈마켓을 통한 앱을 설치하고 확인되지 않은 앱이 설치되지 않도록 스마트폰 보안설정을 강화해야 한다. (설정>보안>출처를 알 수 없는 앱 설치 해제)
만일 URL을 클릭한 경우라면 지체없이 118로 전화해 상담을 받아야 한다. 금전피해가 발생한 경우 해당 금융회사 혹은 금융감독원 콜센터 1332로 전화해 구제신청을 받을 수 있다. 악성 앱 특정이 어렵기 때문에 단말기 전체를 초기화하는 것이 가장 안전하다.
안랩 인공지능팀 수석연구원은 "이번 공격에서는 사용자의 의심을 피하기 위해 피싱 사이트로 연결하기 전 가짜 보안 확인 페이지를 거치는 등 교묘한 방식을 사용했다"며 "사용자들은 의심스러운 메일 내 첨부파일 및 URL은 실행하지 않는 등 기본 보안수칙을 꼭 지켜야 한다"고 말했다.