풍요로운 한가위. 추석이 다가오면서 덕담과 안부인사는 물론 추석맞이 세일 정보 등 문자메시지도 부쩍 늘었는데요, 하지만 무심코 확인한 문자 속 링크 접속이 여러분의 개인정보를 빼낼 수도 있다는 사실, 알고 계신가요? 바로 ‘스미싱(Smishing, 문자메시지 피싱)’입니다! 추석을 맞아 더욱 기승을 부리는 스미싱, 스미싱이란 무엇이고 어떻게 피해를 막을 수 있는지 자세히 살펴보겠습니다.

 

스미싱이란?

▲ 가짜 앱을 설치해서 민감한 정보를 입력하게 유도하는 스미싱 (출처: 경찰청 보도자료)

스미싱은 문자메시지나 인터넷 사이트를 통해 개인정보를 빼내거나 소액 결제를 유도하는 사이버 사기입니다. 스미싱 문자는 신뢰할 만한 사람이나 기업을 사칭해 문자메시지를 받은 사람이 첨부된 링크를 클릭하게끔 유도합니다. 링크를 클릭하면 피싱 사이트로 연결되거나 휴대폰에 악성 앱이 설치돼 개인정보 같은 민감한 정보가 유출될 수 있습니다. 여기서 해커가 결제승인번호 같은 금융정보를 탈취한다면 자신도 모르는 사이 소액결제가 진행될 수도 있습니다. 더 심한 경우 피해자의 스마트폰에 저장된 사진, 연락처, 공인인증서까지 탈취돼 대형 범죄에 이용될 수도 있습니다.

스미싱 피해사례를 알아보자!

스미싱 문자메시지는 피해자의 관심을 끌어 악성 링크를 클릭하도록 유도하기 위해 다양한 형태로 진화하고 있습니다. 택배회사를 사칭하는 경우가 가장 흔하고 지인이나 공공기관을 사칭하는 경우도 있습니다.

1) 택배회사 사칭

▲택배회사를 사칭한 스미싱 문자 (출처: 방송통신위원회 보도자료)

택배회사에서 보내는 배송 알림을 사칭하는 유형입니다. 첨부된 링크를 클릭하면 택배회사 사이트처럼 보이는 피싱 사이트로 연결됩니다. 이 사이트에는 본인확인을 위해서라며 전화번호를 입력할 것을 요구해서 개인정보를 탈취합니다. 전체 스미싱의 85%를 차지할 만큼 흔한 유형이니 주의하시기 바랍니다. 

▲ 피싱 사이트는 전화번호를 요구하지만 정상 사이트는 운송장 번호만을 요구합니다 (출처: 신아일보)

2) 지인 사칭

▲추석 인사를 사칭한 스미싱 문자 (출처: 방송통신위원회 보도자료)

추석 인사, 돌잔치 초대장 등을 보내묘 지인을 사칭하는 유형입니다. 피해자의 주소록이나 모바일 메신저 계정을 해킹해 지인 명의로 돈을 보내달라는 문자를 보내기도 합니다. 모바일 돌잔치 초대장을 보내드린다는 문자를 받고 링크를 눌렀더니 자신도 모르게 주소록에 저장된 사람들 전체에게 똑같은 스미싱 문자가 전달된 사례도 있으니 주의하셔야 합니다. 


3) 공공기관 사칭

▲도로공사를 사칭한 스미싱 문자 (출처: 방송통신위원회 보도자료)

범죄에 연루되었다거나 범칙금 고지서가 발부되었다는 등의 문자를 보내는 유형입니다. 문자에 포함된 링크를 클릭하면 교통 범칙금 과태료 조회·납부 시스템을 사칭한 피싱 사이트로 연결됩니다. 이 사이트 역시 사용자의 전화번호를 입력하도록 요구해서 개인정보를 탈취합니다. 
 

스미싱 피해, 어떻게 막을 수 있을까?

1) 의심스러운 문자메시지 조심하기
① 링크 클릭하지 않기
결혼식, 공공기관 알림, 택배 알림, 사회적 이슈 등을 포함하는 문자메시지는 스미싱에 이용되고 있을 가능성이 높으므로 링크를 클릭하지 않도록 주의해야 합니다. 특히 공공기관에서 보낸 문자메시지인 것 같은데 링크된 인터넷 주소가 go.kr, or.kr, kr이 아니라 com, co.kr 등으로 끝나는 경우 해당 기관을 사칭하는 것일 가능성이 높습니다. 

② 의미 없는 글자 주의하기

▲문구 사이에 의미 없는 글자가 포함된 문자메시지. (출처: 한국인터넷진흥원 스미싱 예방 및 대응 가이드)

메시지 문구 사이에 의미 없는 글자가 들어가 있다면 스미싱 차단 앱의 분석을 피하기 위해서 그렇게 한 것일 수도 있으므로 조심해야 합니다.


③ 사이트에 개인정보 입력하지 않기
링크를 클릭했는데 연결된 사이트에서 전화번호 같은 개인정보를 입력할 것을 요구한다면 절대 정보를 입력하지 말고 사이트를 종료해야 합니다.

④ 의심스러운 문자메시지 신고하기
스미싱으로 의심되는 문자를 받으셨거나 악성 앱에 감염되었다고 의심 되는 경우 국번없이
118로 신고하면 피해 대처법을 무료로 상담받으실 수 있습니다.

2) 스마트폰 안전하게 관리하기
① 백신 설치하기/소액결제 차단하기
모바일 백신을 설치해서 주기적으로 업데이트를 실시하면 악성 앱이 설치되는 것을 어느 정도 예방할 수 있습니다. 또 통신사 고객센터를 통해 소액결제를 원천적으로 차단하거나 결제금액을 제한한다면 자신도 모르는 사이에 소액결제가 진행되는 일을 막을 수 있습니다.

② 개방형 와이파이 사용하지 않기
암호가 없는 와이파이를 사용할 때는 주의해야 합니다. 보안 설정이 되어 있지 않아 와이파이를 사용하는 스마트폰이 해커에게 감시당할 수 있기 때문입니다.

③ 안드로이드 운영체제 최신 업데이트
스마트폰 제조사에서는 운영체제의 취약점, 오류 등을 지속적으로 개선해서 수정 버전을 배포하고 있습니다. 스마트폰을 안전하게 관리하려면 스마트폰 운영체제를 항상 최신 버전으로 업데이트해야 합니다.


3) 앱 설치 관리하기
① 공식 앱 마켓 이용하기
사설 앱 마켓에서는 악의적인 목적으로 수정된 앱이 정상 앱을 사칭해서 유포되고 있습니다. 그러므로 공식 앱 마켓인 Play 스토어나 각 통신사 마켓에서 앱을 다운로드 받는 것이 안전합니다.

② 과도한 권한을 요구하는 앱 주의하기
설치하려는 앱이 기능과 관계없는 과도한 접근 권한을 요구한다면 주의해야 합니다. 예를 들어 게임 앱이 통화내역, 문자 및 통화 기능, 저장소 조회 등 필요 이상의 권한을 요구한다면 악성 앱이라고 의심해볼 수 있습니다. 

③ 출처를 알 수 없는 앱 설치 기능 해제
악성 앱이 설치되는 것을 막기 위해서는 스마트폰 환경설정에서 ‘알 수없는 출처 앱 설치’ 기능을 해제해야 합니다.
스마트폰 ‘환경설정’ → ‘잠금화면 및 보안’ 탭에서 ‘출처를 알 수 없는 앱’기능을 해제하면 됩니다. 

▲안드로이드 핸드폰에서 출처를 알 수 없는 앱 설치 기능을 해제하는 방법.

 

스미싱 피해를 당했다면? 스미싱 대처법

1) 신고하기 
개인정보가 유출되는 등의 피해를 당했다면 가까운 경찰서나 사이버경찰청(☎182)에 피해를 신고해야 합니다. 파출소에서는 스미싱 신고를 받지 않으므로 꼭 경찰서를 방문하시기 바랍니다.


2) 악성 앱/설치파일 삭제하기
링크를 통해서 앱을 설치했다면 악성코드 감염을 의심해야 합니다. 악성앱 감염이 의심되면 다음과 같은 방법으로 스마트폰을 점검해야 합니다.

① 모바일 백신으로 악성 앱 탐지하기
모바일 백신을 이용해서 스마트폰 보안 상태를 검사하면 악성앱이 설치되어 있는지 알 수 있습니다. 이때 백신이 최신 버전으로 업데이트되어 있으면 더 정확한 결과가 나옵니다.

② 악성 앱 수동 삭제하기
애플리케이션 관리 창을 통해 악성 앱을 수동으로 삭제할 수도 있습니다.

③ 스마트폰 포맷하기
악성 앱을 삭제할 수 없을 경우 스마트폰 데이터를 다른 보관 장소에 안전하게 저장한 후 가까운 서비스센터에서 스마트폰을 포맷하고 초기화해야 합니다.

④ 설치 파일 삭제하기
악성 앱이 다시 설치되는 것을 막으려면 악성앱 설치에 필요한 APK 파일까지 삭제해야 합니다. APK 파일은 스마트폰에 기본적으로 설치되어 있는 ‘내 파일’ 같은 파일관리 애플리케이션에서 ‘Download 폴더’를 확인해서 삭제할 수 있습니다.


3) 모바일 결제 확인/취소하기
악성 앱에 감염되면 자신도 모르는 사이에 모바일 결제가 진행될 수 있습니다. 따라서 이동통신사에 모바일 결제 내역이 있는지 확인해야 합니다. 혹시 피해가 발생했다면 아래와 같이 대응하시면 됩니다.

① 모바일 결제 피해가 확인되면 피해가 의심되는 스미싱 문자 캡쳐
② 통신사 고객센터를 통해 스미싱 피해 신고 및 ‘소액결제확인서’ 발급
③ 소액결제확인서를 가지고 가까운 경찰서 사이버수사대나 민원실을 방문해서 피해 사실 신고하기
④ 사고 내역을 확인받고 ‘사건사고 사실 확인서’ 발급받기
⑤ 사건사고 사실 확인서 등 필요한 서류를 가지고 통신사 고객센터 방문하기
⑥ 통신사나 결제대행 업체에 사실 및 피해 내역 확인 후 적극적으로 피해보상 요구하기


4) 공인인증서 폐기하고 재발급받기
악성앱에 감염되었던 스마트폰으로 모바일 금융서비스를 이용하신 적이 있다면 공인인증서나 보안카드처럼 금융거래에 필요한 정보가 유출되었을 가능성이 있습니다. 그러므로 해당 정보를 폐기하고 재발급을 받아야 유출된 금융 정보로 인한 2차 피해를 예방할 수 있습니다. 스마트폰에 공인인증서가 저장되어 있지 않았더라도 보안카드처럼 금융 거래에 필요한 정보를 사진으로 찍어 두었거나 메모장에 기록하셨다면 관련된 기록을 없애고 해당 정보를 다시 발급받아야 합니다.


5) 2차 피해 예방
스미싱으로 얻은 정보는 피해자의 지인들을 대상으로 한 범죄에 활용될 가능성이 큽니다. 악성 앱이 주소록을 조회하여 다른 사람에게 유사한 내용의 스미싱을 발송하는 등 2차 피해가 발생할 수 있으므로 지인들에게 스미싱 피해 사실을 알려서 또 다른 피해를 예방해야 합니다. 

스미싱은 명절 때가 되면 사회 분위기에 편승해서 기승을 부립니다. 방송통신위원회는 9월 17일부터 전 국민에게 스미싱으로 의심되는 메시지를 클릭하지 말라는 내용의 메시지를 보내서 국민들의 주의를 당부하고 있습니다. 이 메시지의 내용처럼 여러분도 스미싱에 주의하셔서 명절 연휴 잘 보내시기 바랍니다.

s.png