신종 보이스피싱인 ‘스미싱’을 이용한 범죄가 또 다시 발생했다. 5개월에 걸쳐 250여명이 2억2000여만원의 피해를 입었다. 경찰청이 직접 브리핑을 하는 등 스미싱에 대한 경각심이 높아지고 있다.

스미싱(Smishing)은 휴대전화 소액결제를 악용한 수법으로, 문자메세지의 인터넷 링크를 클릭하면 악성코드에 감염돼 개인정보가 유출되는 방식이다. 문자메시지(SMS)와 피싱(Phishing)의 합성어다.

유출 과정은 ‘△문자메시지의 인터넷 주소 링크 클릭->△휴대폰에 악성코드 설치-> △결제에 필요한 승인번호 사기범에게 전송 -> △게임사이트에서 게임아이템이나 사이버머니 구입’ 등으로 확인되고 있다.

경찰청 사이버테러대응센터는 PC에 저장된 신용카드 결제정보와 휴대폰 승인번호를 가로채는 기능의 악성코드ㆍ악성앱을 이용해 게임사이트 등에서 결제하는 방법으로 지난해 10월부터 올해 3월까지 250여명으로부터 2억 2000만원 상당의 부당이득을 취한 피의자 3명을 검거했다고 2일 밝혔다.

▲ 은행과 99% 똑같은 가짜 피싱 사이트. ⓒ금융위원회

피의자 이모씨 등은 중국 해커 조직들과 공동으로 중국 소재 사무실에서 스마트폰 수신문자를 가로채는 기능을 가진 악성앱을 해외 인터넷 사이트를 통해 유포하고, 앱 설치를 유도하는 문자메시지를 50만명에게 90만회에 걸쳐 발송한 것으로 드러났다. 또 PC에 저장된 신용카드 결제정보를 유출하는 기능의 악성코드를 다수의 인터넷 쇼핑몰사이트를 통해 유포하는 방식의 사기 행각을 벌인 것으로 드러났다.

검거 피의자들과 공모한 중국 소재 중국인 해커 등 5명에 대해서는 중국측과 공조수사를 진행하고 있는 상태인 것으로 알려졌다.

경찰은 “신용카드 소액결제는 한도액까지 횟수 제한 없이 가능하다는 취약점을 노린 범죄”라며 “신용카드 결제에 필요한 모든 정보를 모두 유출하는 악성코드 제작․유포했다”고 발표했다.

경찰은 “결제직후 카드사가 카드결제 통보문자를 발송하더라도 확인이 어렵도록 야간에서 새벽시간대 결제를 했다”며 “정상적인 앱을 가장하여 유포하기 때문에 사용자들은 악성코드가 설치․실행되는 것을 알기 어려웠다”고 전했다.

경찰은 또 “스마트폰 수신 문자를 액정화면에 표시되지 않고 가로챌 수 있는 지능형 악성앱을 이용했다”며 “결제시 인증번호 및 결제 직후의 결제확인 통보 문자를 탈취하므로 피해자가 결제 사실을 알 수 없었다”고 발표했다.

경찰청의 피해 방지 대책을 종합하면 △소액결제 원천 차단 또는 결제금액 한도 제한 신청  △스미싱 문자에 현혹되지 않도록 이동통신사 또는 스마트폰 설정을 통해 스팸 문자 사전 차단 △안드로이드 계열 스마트폰 사용자들은 보안설정 강화 △공인된 오픈마켓을 통해서만 스마트폰 앱을 설치 △확인되지 않은 사이트나 단축URL 주소에 연결된 앱은 설치 금지 등이다.

한편, 스미싱 외에도 파밍, 피싱 등 신종 사기 범죄가 기승을 부리고 있다. 한국소비자원이 지난 2월에 발표한 ‘스미싱 사기피해 관련 피해구제신청 건수’에 따르면, 스미싱 피해는 작년 11월 4건에서 올 1월 25건으로 3개월 사이에 8배 이상 증가했다.

2월 11일 금융결제원은 파밍으로 인해 공인인증서 700개가 유출됐다고 발표했다. 15일 카드업계에 따르면, 카드사 콜센터에 1월부터 2월 중순까지 피싱, 파밍, 스미싱 등에 의한 개인정보 유출 상담사례는 1000건에 달하는 것으로 추정된다.

파밍(Pharming)은 악성코드를 배포해 PC를 감염시켜 사용자가 웹 브라우저에 정확한 웹 페이지 주소를 입력해도 가짜 웹 페이지에 접속되게 만들어 개인정보를 빼내는 방식이다. 가짜 웹페이지는 실제 정상 웹페이지와 99% 동일하다. 피싱(Pishing)은 문자메시지, 이메일 등에 거짓 홈페이지 주소를 보내, 접속을 유도하고, 개인 금융 정보를 입력하도록 만든 뒤 유출하는 수법이다.

이같은 신종 금융 사기 수법들은 교묘해 누구나 속을 수 있어 각별한 주의가 필요하다. 보안 전문 업체 이스트소프트 관계자는 ‘go발뉴스’에 △사용 중인 OS와 SW의 보안패치를 항상 최신으로 업데이트하여 유지 △정기적으로 백신을 활용하여 악성코드에 감염되어있는지 여부를 점검하고 치료 △백신의 DB를 항상 최신으로 업데이트 및 실시간감시기능을 항상 활성화 등을 권고했다.

카드사들은 사기 방지 대책으로 △카드사 홈페이지 진짜인지 확인 △결제 취소를 위한 애플리케이션 설치 금지 △결제 취소를 위한 인증번호 전송 금지 △카드사 홈페이지는 문자메세지 링크로 접속하지 말고, 포털을 통해 접속 △문자 메시지 대출 광고는 대부분 사기 △대출 상담 때 신용등급 상향을 위한 수수료 등 돈을 요구하는 것은 대출 사기 등을 안내했다.