예비군·택배·청첩장…내 금융정보 노리는 스미싱 수법은?

[아시아경제 김철현 기자] 문자메시지를 보내 인터넷 주소를 클릭하게 유도한 뒤 금융정보를 빼내는 '스미싱'에 대한 우려가 커지고 있다. 최근 앱카드를 해킹하는 데도 스미싱이 쓰였다. 갈수록 수법은 교묘해져 안전지대가 없다고 여겨질 정도다.

스미싱(Smishing)은 문자메시지(SMS)와 피싱(Phishing)의 합성어로, 처음 등장한 것은 인터넷을 이용할 수 있는 휴대폰이 나온 2000년대 중반으로 거슬러 올라간다. 2006년 글로벌 보안업체인 맥아피가 처음 이 용어를 만들어 사용한 것이다.

주로 웹사이트 링크가 포함된 문자메시지를 보내 휴대폰 이용자가 클릭하면 악성 애플리케이션(이하 앱)이 자동으로 설치되도록 한다. 이렇게 설치된 악성 앱을 통해 범죄자는 휴대폰 이용자 모르게 소액결제를 하기도 하고, 개인정보 및 금융정보를 빼돌리기도 한다.

그렇다면 스미싱 범죄자들은 어떤 방식으로 클릭을 유도할까. 대표적인 방법이 예비군 훈련 안내다. 실제로 문자메시지로도 예비군 안내를 받기 때문에 의심 없이 날짜 변경이나 훈련장 안내 등을 위해 링크를 클릭하게 되는 것이다.

택배도 자주 사용되는 수법이다. 특히 명절 등 택배 배달이 많은 기간에는 '부재중이어서 전달이 안됐고 원하는 배송 날짜를 선택하려면 클릭하라'는 안내에 무심코 손이 움직이게 된다. 법원 등기나 우체국을 사칭하는 것도 유사한 수법이다. 모바일 청첩장도 자주 악용된다. 모바일청첩장이 도착했다고 메시지를 보내 확인을 위해서 인터넷 주소를 클릭하게 하는 것이다.

뿐만 아니라 비아그라 판매나 음란사이트 등으로 위장한 스미싱도 있었다. 호기심을 자극하는 전통적인 수법인 셈이다. 은행 등 금융기관에서 보안 등급 조정을 위해 보내는 메시지로 사칭하는 경우도 자주 발견됐다. 보안 앱을 위장해 불안감을 키우고 이를 바탕으로 클릭을 유도하는 메시지도 있었다. 경찰청 앱을 사칭하는 간 큰 스미싱도 있었다.

스미싱을 위한 악성코드도 급속히 증가하고 있다. 보안업체 안랩의 내부 집계 결과 올해 1분기 스미싱 악성코드는 총 2062개 발견됐다. 이는 지난해 1분기 504개 대비 약 4배, 2012년 1분기 5개에 비하면 무려 400배 이상 증가한 수치다.

그렇다면 스미싱을 예방하는 방법은 뭘까. 보안 전문가들은 문자메시지나 SNS에 포함된 URL 실행을 자제하는 것이 예방의 첫 걸음이라고 강조하고 있다. 또한 모바일 백신으로 스마트폰을 주기적으로 검사해야 하고 시스템 설정에서 '알 수 없는 출처'의 앱을 설치하지 못하도록 잠궈둬야 한다. 신뢰할 수 있는 보안업체 등에서 내놓은 스미싱 탐지 전용 앱을 설치하는 것도 좋은 방법이다.

금융권 관계자는 "최근 스마트폰을 통한 다양한 금융 거래가 늘면서 이를 겨냥한 스미싱도 진화하고 있다"며 "기본적인 보안 수칙을 생활화해 피해를 최소화해야 한다"고 말했다.