할인쿠폰·법원출석·욕설 … 이게 모두 스마트폰 문자 사기
직장인 최모(37)씨는 지난 22일 “[알리미]형사 소송건으로 법원 출석서가 발부되었습니다”라는 문자메시지를 받았다. 문자메시지의 발신지는 컴퓨터보안업체 안랩의 고객센터 번호인 ‘1577-9880’였다. 메시지에는 인터넷 연결 주소가 들어 있었다. 안랩은 지난 23일 “최근 고객센터와 구매라인 번호를 도용한 스미싱 문자가 전송되고 있다”며 “절대 인터넷 연결 주소를 클릭하지 말아달라”고 당부했다. 올해 들어 전자금융사기의 일종인 ‘스미싱(Smishing)이 기승을 부리고 있다. SMS와 Phishing(피싱)의 합성어인 스미싱은 문자메시지에 포함된 인터넷 주소를 피해자가 클릭하면 악성코드를 심어 개인정보를 빼돌리는 수법이다.
프로그래밍 알면 초보도 쉽게 만들어
인터넷으로 소액결제를 할 때 필요한 인증번호 문자메시지를 피해자 몰래 빼돌리는 것이 대표적이다. 문자메시지 내용도 무료쿠폰·상품권, 뉴스 속보, 돌잔치·청첩장, 법원, 고객센터를 사칭하는 등 각양각색이다. 범죄는 통신사 고객센터가 문을 열지 않는 공휴일과 주말에 집중된다.
스미싱의 핵심인 악성코드는 갈수록 다양해지고 있다. 문자메시지·전화번호부·사진을 빼돌리기도 하고 가짜 모바일뱅킹 애플리케이션(앱)을 설치하기도 한다. 전화번호부에 등록된 이들에게 악성코드가 담긴 문자메시지를 자동 발송하는 기능을 갖춘 것도 있다. 스미싱의 확산 속도가 보이스피싱·파밍보다 훨씬 빠른 이유다.
안랩에 따르면 스미싱 악성코드는 지난해 총 29개가 발견됐다. 하지만 올 들어 8월까지는 2433개로 84배가 늘었다. 악성코드를 심는 인터넷 사이트도 증가했다. 한국인터넷진흥원이 차단한 스미싱 관련 인터넷 사이트는 지난해 17개에서 올해는 8월까지 1289개로 76배 늘었다.
변종 악성코드가 쉴 새 없이 개발되면서 스미싱 수법도 진화했다. 서울 장안동에 사는 박모(51·여)씨는 지난 15일 지인으로부터 ‘모바일 돌잔치 초대장’을 받았다. 메시지에 찍힌 인터넷 주소를 클릭했지만 초대장은 나오지 않았다. 대신 뭔가를 다운로드했다는 알림이 떴다. 박씨는 며칠 뒤 계좌이체를 할 일이 있어 스마트폰에 저장해 둔 모바일뱅킹 앱을 열었다. 그랬더니 “보안 강화를 위해 정보를 입력해 달라”며 계좌 비밀번호와 보안카드 번호 등을 요구했다. 박씨는 늘 쓰던 앱의 디자인과 같았기에 의심하지 않고 정보를 입력했다. 몇 시간 뒤 계좌에서 180만원이 빠져나갔음을 알았다. 악성코드가 기존의 것을 지우고 다시 설치한 가짜 앱이었다.
욕설 담긴 문자를 보내 전화를 걸게 하는 신종 스미싱 피해 사례들도 온라인 커뮤니티에 게시되고 있다. ‘차 빼라. XXX야’ ‘마누라 단속 똑바로 안 할래. 전화해라 XXX야’ 등의 문자 메시지에 화가 나 전화를 걸었다가 20여만원의 돈이 소액결제로 빠져나가는 사기를 당했다는 내용들이다.
안드로이드폰 사용자들이 주로 표적
스미싱 범죄는 스마트폰 이용자가 폭발적으로 증가하면서 덩달아 늘고 있다. 미국 시장조사기관 스트래티지 애널리틱스에 따르면 국내 스마트폰 보급률은 2007년 0.7%에 불과했지만 2010년 14.0%, 2011년 38.3%, 지난해 67.6%로 가파르게 늘었다.
개방형 운영체제인 안드로이드 사용자가 많은 점도 스미싱 피해 확산의 주 요인이다. 안드로이드는 소스를 대중에 공개하므로 시스템의 취약점을 파악하기 쉽다. 한국인터넷진흥원 박상환 코드분석팀장은 “프로그래밍을 안다면 초보라도 악성 코드를 만드는 게 가능하다”며 “변종이 끝없이 나타나는 이유”라고 말했다. 현재 스미싱 피해는 모두 안드로이드 사용자에게만 국한된다. 폐쇄형 운영체제를 채택한 아이폰 사용자의 스미싱 피해 신고는 아직 없다.
스미싱 수법에 따라 구제 방법도 다르다. 인증번호 문자메시지를 빼돌려 소액결제 피해를 보았다면 절차가 간단하고 환불 가능성도 높다. 경찰에 신고한 뒤 ‘사건사고 사실확인원’을 발급받아 이동통신사에 제출하면 된다. 돈이 이미 빠져나갔더라도 대부분 피해액을 돌려받을 수 있다. 인증번호를 직접 불러준 경우나 가짜 모바일뱅킹 앱을 통해 피해를 보았다면 돈을 돌려받기 까다롭다. 소송을 통해 환불을 받아야 하는데 피해자의 과실이 있다면 일부만 돌려받거나 아예 받지 못할 수도 있다. 이준길 변호사는 “은행 측은 손해 볼 것이 없어 소송으로 가는 경우가 많다”며 “법을 개정해 소송 없이도 환급받을 수 있게 해야 한다”고 말했다.
차단 앱 깔고 낯선 문자는 바로 지워야
경찰·통신사 등 관계당국은 개인들이 각자 주의할 것을 당부한다.
스미싱 수법은 다양하지만 피해 방지는 비교적 쉬워서다. 우선 문자메시지에 연결된 인터넷 연결 주소를 일절 열어봐서는 안 된다. 또 통신사 고객센터·홈페이지에서 소액결제를 차단하거나 한도를 작게 설정하는 게 좋다. 한국인터넷진흥원에서 만든 ‘폰키퍼’ 앱을 설치해 악성코드를 걸러내고 백신을 주기적으로 업데이트하거나 검사할 필요도 있다.