[뷰앤비전] 문자메시지 조심하라, '스미싱' 극성

김광식 금융보안연구원장

요즘은 스마트폰을 통해 주위의 먹을 만한 음식점이나 관광할 장소를 찾아 즐거운 여행을 떠나곤 한다. 어디에서나 뉴스를 검색하고 이메일도 확인하는 등 개인적인 일을 볼 수 있다. 참으로 편리한 세상이다. 정보기술(IT)이 금융과 융합되면서 정보의 공유와 소통, 효율성은 과거에 상상하기 힘들 정도다. 그러나 이러한 IT의 발전과 더불어 그 위협도 획기적으로 진화하고 있다. 각종 피싱 사기가 그것이다.

'○○은행입니다. 개인정보가 유출되었으니 보안승급 후 이용하세요'라는 문자를 접해봤다는 사람이 주위에 꽤나 많다. "○○은행 대리입니다. 누가 당신 예금통장을 들고 객장에 와 예금을 인출하려고 합니다. 이를 확인하기 위하여 당신 통장번호, 주민등록번호, 비밀번호를 확인하려고 하니…." 얼마 전 필자가 겪은 일이다. 당시 필자는 해당 은행에 거래하는 통장이 없어 사기범들의 시도는 결국 실패로 돌아갔다. 그러나 일부 피해자들은 이 과정에서 사기범에게 금융정보를 알려주기도 한다.

IT 금융시스템이 발전하면서 금융사기 수법도 날이 갈수록 진화하고 있다. 얼마 전에는 이메일이나 메신저를 이용한 피싱이 대부분이었는데 이제는 스마트폰이 주로 이용된다. 금융거래의 대부분을 차지하는 전자금융(비대면)거래는 스마트폰 기반 모바일 뱅킹 고객의 증가와 함께 진화하고 있는 것이다.

스마트폰 뱅킹 가입자는 지난해만 이미 1000만명을 돌파했다. 조만간 스마트폰 이용자 수가 3000만명을 넘어설 것으로 전망돼 이를 기반으로 한 전자금융거래도 기하급수적으로 증가될 것으로 보인다. 아울러 스마트폰 뱅킹과 관련한 피싱 사기 위협도 급증할 것으로 예상된다.

그래서 이제는 '스미싱(smishing)'을 주목해야 한다. 문자메시지를 뜻하는 SMS와 피싱(Phishing)의 합성어인 스미싱은 문자메시지를 이용해 악성 소프트웨어와 바이러스 등을 모바일 기기에 주입하는 해킹기법이다. 스마트폰의 경우 첨부된 링크를 바로 확인할 수 있고 실시간 계좌이체, 대출 등 다양한 금융 거래가 가능해 범죄의 대상으로 급부상하고 있다. 월스트리트저널은 2007년 당시 유행할 금융용어로 스미싱을 꼽기도 했다. 하지만 그때만 해도 스마트폰이 대중적으로 보급되기 전이어서 관심 밖이었다. 그러나 이제는 상황이 달라졌다. 관련 범죄가 현실화된 것이다.

이와 관련해 정부나 금융당국, 금융회사는 물론이고 필자가 몸담고 있는 금융보안전담기구인 금융보안연구원도 금융보안을 강화하기 위한 많은 노력을 기울이고 있다. 그러나 금융 이용자의 세심한 관심이나 주의가 없으면 100% 보안을 지키기엔 한계가 있다.

무엇보다 피해방지를 위해서는 사전 예방ㆍ사후 적발을 위한 정부의 노력과 더불어 금융소비자의 주의가 가장 필요하다. 사실 금융이용자가 카드번호나 예금통장번호, 공인인증서 정보 등을 타인에게 제공하지 않는 데서부터 금융보안은 시작된다. 금융이용자의 정보가 사기범들에게 제공된 경우 100% 금융보안을 달성하는 데는 한계가 있다. 특히 스마트폰 이용자의 경우 새로운 보안 위협에 적극적인 보안의식이 필요하다.

나날이 지능화되고 교묘해지는 각종 피싱 위협으로부터 누구도 안전할 수는 없다. IT 환경의 변화에 따라 신ㆍ변종 위협은 항상 출현하므로 금융보안은 금융회사의 신뢰를 지키는 핵심이 되고 있다. 금융보안 실패는 금융회사의 신뢰에 치명적인 영향을 줄 수도 있다는 말이다. 금융이용자가 금융보안을 제대로 실천하지 않아 내 돈을 지켜주지 못하는 금융회사로부터 일시에 자금을 인출하는 뱅크런이 일어나지 않는다고 누가 보장할 수 있는가?