추석 '안부문자' 위장 스미싱 앱 극성…어떻게 막을까

[아시아경제 김영식 기자]추석을 맞아 각종 스미싱 문자 사기가 더욱 기승을 부리고 있다. SMS와 피싱(phishing)을 합친 말인 스미싱은 안드로이드 스마트폰을 목표로 문자를 통해 사용자가 특정 인터넷 주소를 클릭하도록 한 뒤, 악성코드나 앱을 설치해 개인정보를 유출하거나 소액결제로 돈을 빼내는 수법이다. 사용자의 주소록에 등록된 지인의 전화번호까지 유사한 피싱 문자를 유포해 피해를 확산시키기도 한다.

최근 들어 돌잔치 알림이나 결혼 청첩장을 위장한 스미싱이 문제가 된 데 이어 최근에는 최근 정치권 이슈에 맞춰 ‘국정원 내란음모 소환서가 발부됐으니 내용을 확인하라’는 식으로 주소를 누르도록 사칭·유도하는 등 수법이 날로 지능화되고 있다. 명절을 맞아 안부인사나 택배 알림, 일회성 이벤트를 가장한 스미싱 문자도 늘어날 것으로 예상된다.

이같은 스미싱 문자 사기는 비교적 간단한 방법으로 막을 수 있다. 안드로이드 운영체제(OS)에는 자체적으로 구글이나 이통사 등 정식 경로를 통해 등록된 앱을 차단할 수 있는 장치가 있다. 또 각 통신사와 정부 당국도 스미싱 피해를 최소화하기 위해 예방용 앱을 내놓고 있다.

◆ 안드로이드 ‘환경설정’에서 해결 = 스미싱을 일으키는 악성 앱은 패키지 파일 확장자가 .apk로 보통 안드로이드용 응용 앱과 똑같다. 이 파일을 온라인상에 올려놓은 뒤 그 주소를 단축파일 형태로 바꿔 눌러보도록 유도하고, 주소를 누르면 설치가 진행된다. 이는 안드로이드 설정에서 출처를 알 수 없는 앱을 설치할 수 없도록 해 주면 자동설치를 막을 수 있다.

안드로이드 스마트폰은 제조사와 출시 시기마다 조금씩 다르지만 이 기능을 자체 설정 메뉴에서 찾을 수 있다. 널리 쓰이는 제품 중 하나인 삼성전자 갤럭시S3의 경우 ‘환경설정>보안>알 수 없는 출처’에서 체크를 해제해 비활성화시키면 된다. 이렇게 하면 구글 플레이 스토어 외 다른 곳에서 유입된 앱의 설치를 일단 막고, 사용자의 확인을 거치게 된다.

혹시 실수로 설치가 됐다고 해도 해당 악성 앱을 제거하면 된다. 역시 설정 메뉴에서 ‘애플리케이션 관리’(갤럭시S3에 해당)를 선택해 찾아 삭제하면 된다. 악성 앱은 보통 앱과 유사한 아이콘이나 이름으로 위장하는 경우가 많기에 최근 설치한 앱을 중심으로 잘 찾아봐야 한다.

◆ 이통사 차단앱·모바일 백신 이용 = 이통3사는 추석을 맞아 강화된 스미싱 피해 방지책을 내놓았다. 자체 앱이나 서비스를 통해 스미싱 문자를 걸러내거나 소액결제를 사전에 차단하는 식이다.

SK텔레콤은 문자 메시지 패턴으로 스미싱 여부를 판단하고 조기에 탐지하는 ‘스마트 아이’ 시스템과 ‘T가드’ 등을 내놓았다. KT는 '올레 스미싱 차단' 앱으로 악성코드 감염여부 분석, 실시간 경고, 주기적인 악성코드 감염여부 체크 등을 가능하도록 했다. LG유플러스는 모바일 고객센터 앱을 통해 소액결제 서비스를 차단하거나 변경하도록 하고, 피해 발생시 신속한 대응이 가능하도록 했다. 이통사들은 스미싱 사기 피해 고객이 보상을 요청할 경우 검증절차를 거쳐 피해로 확인되면 피해 금액을 청구 유보하거나 취소하고 있으며, 이미 요금을 납부한 고객에 대해서는 환불조치도 하고 있다.

이외에 안랩, 잉카인터넷, 이스트소프트 등 국내 주요 보안업체들은 무료 배포하는 개인용 모바일 백신 앱을 제공하고 있으며, ‘스미싱가드’ 등 스미싱 전용 예방 앱도 등장하고 있다.

인터넷 사기ㆍ스미싱 관련 정보를 얻으려면 경찰청 넷두루미(www.net-durumi.go.kr), 서울시 전자상거래센터(ecc.seoul.gl.kr), 더치트(www.thecheat.co.kr) 등에 접속하면 된다.

김영식 기자 grad@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>