[시사오늘·시사ON·시사온=강수연 기자]

한국인터넷진흥원(KISA)이 최근 ‘스미싱 확인 서비스’를 출시, 스미싱 대응을 강화하고 있다.

스미싱(Smishing)은 문자메시지(SMS)와 피싱(Phising)을 합친 말로, 메시지를 통해 상대방을 속여 금전적 이득을 취하는 사기행위 중 하나다. 메시지의 URL을 클릭하면 악성 앱이 설치돼 금전적 탈취까지 이어진다.

31일 KISA에 따르면, 스미싱 확인 서비스는 국민들이 스미싱 여부를 카카오톡 채널 내 ‘보호나라(KISA 인터넷침해대응센터)’로 통해 확인할 수 있다.

김은성 KISA 탐지대응 팀장은 “2022년 대비 2023년 스미싱 문자 유포가 급격히 증가하고 있음에도 불구하고 국민 개인의 판단에 의존시키고 있는 현실에 대응하고자 ‘스미싱 확인 서비스’를 출시했다”고 말했다.

이 서비스를 이용하기 위해서는 카카오톡 채널 내 ‘보호나라(KISA 인터넷침해대응센터)’를 친구 추가하면 된다. 의심스러운 문자를 복사해 해당 카카오톡 채널에 보내면 5-10분 이내로 악성 여부를 확인할 수 있다.

확인 결과는 △URL이 정상으로 확인된 경우 ‘정상’△분석 중이거나 메신저인 경우 ‘주의’△악성 행위가 확인된 경우에는 ‘악성’으로 분류된다.

또한 이 서비스는 스미싱 의심 신고 건수와 최초 신고 건을 알려준다. 이에 국민들은 신고 건수를 보며 더 주의할 수 있을 것이라고 KISA는 기대하고 있다.

KISA가 카카오톡을 선택한 이유로 김 팀장은 “SNS는 서비스가 새로 나올 때마다 신규 모델을 만들어야 하는 문제가 있었다”며 “KISA가 별도의 앱을 만들게 되면 해커가 이 앱을 또 사칭할까 봐 앱을 개발할 수 없었다”라고 설명했다.

해커들은 더 치밀해지고 악성앱은 고도화되고 있다. 김 팀장은 “실제 사이트나 URL을 보면 일반인들은 구별하기 어렵고 전문가들도 구체적으로 보지 않으면 구분하기 어렵다”라고 설명했다.

공격자가 스미싱을 할 때 먼저 문자메시지를 통해서 URL을 발송한다. 수신자가 URL을 클릭하는 순간 이름과 전화번호를 입력하는 칸이 뜨게 된다. 이 과정에서 해커는 입력한 정보가 정부 기관인지 아닌지 확인하는 번호 검증을 거친다. 그 뒤 악성앱이 설치되면 해커는 휴대폰 내 모든 정보를 탈취할 수 있게 된다.

SNS 계정·사진·동영상·통화기록·메모내용도 다 실시간으로 해커에게 노출된다. 만약 해커가 연락처 정보를 가져가게 되면 2차 피해까지 양산한다. 피라미드 구조 상위에서부터 감염되면 밑으로 쭉 유포되는 형태와 같다. 이렇게 빠져나간 정보들은 비대면 금융 사기나 2차 보이스피싱 협박으로 이어진다.

KISA는 연간 2만764건 스미싱을 차단했으며, 지난해에는 50만3300건의 스미싱 문자를 탐지하고 907건의 악성앱을 분석해 스미싱에 대응했다.

KISA는 의심 문자를 수집해 링크가 정상인지 확인한 후 탐색을 시작한다. 스미싱에 사용된 URL의 실제 도메인을 찾아, 어떤 앱을 다운로드하는지 파악하고, 악성앱으로 확인되면 동적 분석을 진행한다. 확인 및 판단 후 국민들이 해당 링크에 접속하지 못하도록 대응한다. 또한 링크 차단을 요청하는 과정에서는 통신사 전체에게 문자를 발송한다.

스미싱 사칭 유형별로도 대응 건수가 변화하고 있다.

2020년에는 택배 사칭이 가장 높았으나, 2022년 이후부터 공공기관·지인 사칭이 늘어났다. 하지만 여전히 택배 사칭은 스미싱의 절반 이상을 차지하고 있다.

과거 악성앱은 피싱사이트와 별반 다르지 않게 정보 수집이 주를 이루었지만, 현재는 원격 제어 기능이 탑재돼 정보를 실시간으로 관찰할 수 있게 됐다. 스미싱의 수법이 고도화되고 있다.

KISA는 스미싱 악성앱 탐지와 차단에 관한 노력을 계속하고 있으며 악성앱 공동 대응 협력을 강화할 예정이다. 김 팀장은 “‘우리만 열심히 해서 악성앱에 대응할 수 있을까’라는 의문이 들었다”면서 “경찰·통신사·제조사·금융보안원과 같이 악성앱에 공동 대응하고 있다”고 말했다.

이어 “경찰에 수사지원을 받고 있으며, 통신사와 악성 유포를 차단하는 데 적극적으로 대처하고 있다”며 “제조사에서는 휴대폰 자체에서 악성앱이 실행 차단되는 기능을 탑재해서 공동 대응하고 있다”고 덧붙였다.