“이런 카톡 오면 바로 차단하세요… 답장하면 큰일 납니다”

최근 스미싱 공격이 급증하고 있어 사용자들의 주의가 필요하다. 3일 한국인터넷진흥원(KISA)에 따르면, 2024년 1월~10월까지 탐지된 스미싱 건수는 150만8879건에 달한다. 이는 지난해 전체 건수의 세 배를 넘는 수치다. 특히 공공기관이나 지인을 사칭한 스미싱이 증가하고 있다. 공공기관을 사칭한 스미싱만 해도 96만123건에 달한다.

▣ "링크는 안 통해"… 대화방으로 유인

가수 임영웅의 팬인 A씨는 지난달 초 임영웅 리사이틀 티켓 예매 관련 문자를 받았다. A씨는 티켓 예매 소식을 접하지 못한 상태였다. 하지만 콘서트를 놓칠 수 있다는 마음에 문자에 있는 링크를 클릭했다. 그러나 '사용이 중지된 파트너'라는 메시지를 보고 스미싱 문자라는 사실을 뒤늦게 알았다.

취업 준비 중인 B씨도 스미싱 피해를 겪었다. B씨는 이력서가 서류 전형에 통과했다는 문자를 받았다. 이후 담당자의 요청으로 화상 면접을 위한 앱을 다운로드했다. B씨는 주민등록증 복사본을 넘겼고, 그 결과 명의로 핸드폰 개설과 예금 출금이 이루어졌다.

▣ '필라테스 강사'로 위장한 카톡 메시지… 새로운 사이버 공격

스미싱 기법은 점점 다양해지고 있다. 과거에는 악성 URL을 포함한 문자들이 주를 이뤘지만, 최근에는 국민 메신저 카카오톡과 라인 같은 메신저를 통해 사용자를 유인하는 방식이 증가하고 있다. 예를 들어, '한번 만나요 ID: OOOO'와 같은 메시지가 자주 오고 있다. 사용자가 대화방에 들어가면 악성 URL을 클릭하게 되어 피해를 입을 수 있다.

이런 공격을 통해 악성 앱이 설치되면, 피해자의 개인정보와 연락처가 공격자에게 전송될 수 있다. 이동연 국민피해대응단장은 "정보를 수집한 후 맞춤형 보이스피싱을 시도한다"며 주의를 당부했다. 또 카카오톡 메시지를 통해 친구 추가 후 악성 앱을 유포하는 경우가 빈번하다. 공격자는 필라테스 강사 등을 사칭해 호기심을 자극하는 메시지를 보내고, 반응하면 친밀감을 쌓으면서 악성 앱 설치를 유도한다.

ESRC는 낯선 사람의 카카오톡 메시지에는 응답하지 말고, 차단하거나 비공식 경로로 받은 .apk 파일은 절대 설치하지 말 것을 권고하고 있다.

▣ 피싱 명의, 모든 번호를 차단한다

정부도 피싱 공격 방지를 위해 적극적으로 대응하고 있다. KISA는 국민피해대응단을 신설하고, 미끼문자 차단과 피싱 공격 억제를 위한 다양한 사업을 진행 중이다. 특히 해외에서 발송되는 문자에 대해 피싱 여부를 쉽게 확인할 수 있도록 문구를 추가하는 작업도 진행하고 있다.

KISA는 내년부터 피싱 악용 번호가 확인되면 해당 번호와 관련된 모든 전화번호와 인터넷 회선을 동시에 정지할 계획이다. 또한 QR코드 피싱 예방을 위한 새로운 서비스도 도입할 예정이다. 삼성전자와 협력해 문자 안심마크 서비스를 개선하고, 공공기관 발신번호에 대해 '안심마크 플러스' 서비스를 출시할 예정이다. 다만, 애플 아이폰에는 이 서비스가 제공되지 않는 점을 유의해야 한다.

KISA 보이스피싱대응팀장은 "공공기관과 금융기관의 발신번호에 안심마크를 적용할 계획"이라고 밝혔다. 방송통신위원회와 과학기술정보통신부는 불법 스팸 방지 종합대책을 마련하여 관련 범죄에 강력히 대응할 예정이다.