임영웅 콘서트·서류전형 합격 통보까지 악용한 그놈들 [탈탈털털]

'서류전형에 합격했습니다.' 20대 취업 준비생 A 씨는 이 문자를 받자마자 뛸 듯이 기뻤습니다. 곧이어 회사 담당자라는 사람이 면접 전형 안내를 한다며 SNS 친구 추가 요청을 해왔습니다. 이메일이나 문자 대신 SNS로 연락하는 게 조금 이상하다고 느꼈지만, 프로필 사진도 있고 회사 사업 설명을 듣다 보니 의심은 사라졌습니다. 이 담당자가 면접이 화상으로 진행된다며 보내온 URL도 의심 없이 다운받았습니다. 보안이 강화된 앱이라고 했고, 줌과 비슷해 이 앱으로 면접을 본다니, 믿은 겁니다. 담당자가 보내온 앱 설치 가이드라인 영상을 보며 '관리자 권한 설정', '접근성 추가', '권한 허용', '불분명한 앱 설치' 등 절차를 하나하나 허용했습니다. 그렇게 그의 휴대전화는 범죄자들에게 장악당했습니다.

실제 최근 발생한 스미싱 피해 사례입니다. 범죄자들은 취업 준비생들의 절박한 마음조차 속여 우리의 정보와 자산을 탈취하고 있는데요. 한국인터넷진흥원(KISA)에 따르면 취업 시즌, 수험생들을 노리는 스미싱 수법이 횡행하고 있다고 합니다.

진화하는 미끼 문자…채팅방으로 우회해 낚는다

올 상반기 스팸 문자 신고 건수가 2억 건을 넘어섰을 정도로, 스팸 문자로 인한 국민 불편과 피해가 큰 상황입니다. 정부가 지난달 28일 대책을 발표하기도 했죠. 하지만 안심하긴 이릅니다. 앞서 소개해 드린 것처럼 범죄자들의 수법은 늘 진화하고 있기 때문입니다.

일단 범죄자들은 분야를 막론하고 미끼 문자 내용을 만들어 보내고 있습니다. 한국인터넷진흥원에 따르면, '교통위반 벌금 부과 내역' 내용 같은 공공기관 사칭부터 '텔레그램 정책 위반에 따라 계정이 비활성화 예정입니다. 6시간 내로 인증 완료해 주세요.','2024 임영웅 리사이트 콘서트 안내' 같이 관심이 있는 사람이면 의심 없이 누르게끔 만드는 내용도 있었습니다.

스미싱으로 사용된 문자 메시지 예시들. (출처 : 한국인터넷진흥원)

범죄 방식도 진화하고 있습니다. 기존에는 문자 안에 악성앱을 다운로드하는 URL을 넣어 누르게끔 했다면 이제는 라인이나 카카오톡 계정 같은 SNS 아이디만 넣어 보내는 경우가 많습니다. SNS 아이디를 추가하면 채팅방에서 1:1 대화가 이뤄지고 공감대가 형성되면 그제야 악성 앱 URL을 보내는 구조가 많다는 게 KISA의 설명입니다. 문자에 URL을 넣어서 보내면 의심하는 경우도 많고, KISA 보호나라의 '스미싱 확인 서비스'에 탐지되는 경우가 있기 때문에 범죄자들이 우회하는 수법을 사용하는 겁니다.

SNS 아이디로 연락을 안 하면 되는 것 아닌가 싶으실 수도 있습니다. 하지만 중고 거래나 온라인 거래 등에서 이 수법을 활용해 SNS 아이디를 추가해 대화를 나누고 URL을 주는 경우도 있어 주의가 필요합니다.

내 전화번호가 대량 문자 발송?…번호 도용 여부 바로 알려준다

누군가 내 전화번호를 도용해 대량 문자를 보내는 경우도 있습니다. 그런데 이때 내 번호로 대량 문자가 발송됐는지, 발송됐다면 언제 얼마나 보내졌는지 여부를 알 수 있는 방법이 거의 없어 나중에야 아는 경우가 부지기수였습니다.

내년부터는 '인터넷 대량문자 발송 안내 서비스'가 도입될 예정입니다. 대량 문자가 발송되면, 발송된 발신번호 소유자에게 어떤 문자 사이트에서 몇 번 이상의 문자가 발송됐는지 안내 문자를 보내는 서비스입니다. 석지희 KISA 국민피해대응단 보이스피싱대응팀 팀장은 "내가 보낸 대량문자가 아닌 경우, 휴대전화 번호 도용 서비스에 가입하도록 안내도 드릴 예정"이라고 설명했습니다.

석지희 KISA 보이스피싱대응팀장

이외에도 내년 중 범죄에 이용된 전화번호 회선 전체를 차단하는 조치도 시행될 것으로 보입니다. 기존에는 번호 변작이 확인된 전화번호 1개만 이용이 정지되다 보니 범죄자들이 동일인 명의로 다른 휴대전화 번호를 발급받아 범죄에 사용하는 경우가 많았는데, 이를 차단하겠다는 겁니다.

QR 찍었을 뿐인데 악성 앱 설치…QR도 정상 여부 확인해준다

QR코드를 활용한 피싱인 '큐싱'도 신종 범죄 중 하나죠. 특히 공유 킥보드나 공유 자전거 등 이용으로 QR코드 사용이 많아지면서 범죄자들이 QR코드 안에 악성코드 설치, 피싱 사이트로 연결되는 링크를 덫으로 심어놓는 경우가 늘고 있는데요.

피해를 줄이려면 어떻게 해야 할까요. 일단 출처가 불분명한 QR코드는 스캔하지 말아야 합니다. QR코드를 스캔할 때 인터넷 접속 주소가 올바른지 확인하는 것도 필요합니다. 하지만 이렇게 조심해도 작정하고 덫을 심어놓으면 속수무책으로 당할 수밖에 없죠. 특히 QR코드가 정상인지 악성인지 알 수 있는 방법이 거의 없기 때문에 쉽지 않은데요.

이달 중 '큐싱 확인서비스'가 출시됩니다. QR코드가 악성인지 아닌지 판별해 주는 서비스인데요. KISA의 기존 '스미싱 확인 서비스'처럼 카카오톡 채널에 '보호나라'를 검색해 채널 추가를 누르면 'QR코드' 버튼이 나오고, 이 버튼을 누르고 QR코드를 촬영하면 보호나라 카톡 대화방으로 연결, QR코드 안에 있는 URL이 '악성'인지, 아닌지 판별해 주는 겁니다. 김은성 KISA 국민피해대응단 스미싱 대응 팀장은 "악성으로 판별이 난 QR 코드 제거 방안을 고민 중이다"라고 덧붙였습니다.

출시 예정인 큐싱확인서비스에 대해 설명하는 김은성 KISA 국민피해대응단 스미싱대응팀장.

이 외에도 공공기관에서 온 문자에 '확인된 발신 번호'라는 문구가 있는지 확인하면 피해를 줄일 수 있습니다. KISA는 경찰청 등 국가·공공기관의 이름으로 보낸 문자가 진짜 그 기관이 보낸 문자인지 인증해 주는 '국가·공공기관 안심마크 서비스'를 운영하고 있어, 범죄자들이 공공기관을 사칭하고 있는지 진짜 공공기관에서 보낸 건지 확인이 가능하기 때문입니다.

이동연 KISA 국민피해대응단장은 "피싱, 스미싱 등 범죄로 인한 피해액을 올해보다 50% 줄이는 게 목표"라며 "특히 노인, 아동 등 IT 취약계층이 안심하고 스마트폰을 이용할 수 있도록 취약계층의 스마트폰은 화이트리스트에 등록된 앱만 접속할 수 있게 하거나 악성 앱이 설치됐는지 여부를 확인해 주는 '스마트폰 보건소' 등을 운영하는 것을 검토 중"이라고 밝혔습니다.