다양한 수법으로 진화…확인되지 않는 문자 메시지는 클릭 말아야
스미싱이란 문자메시지(SMS)와 피싱(Phishing)의 합성어로 '결혼식 초대장', '교통위반 단속조회', '무료쿠폰 제공' 등을 내용으로 하는 문자메시지를 발송해 이 주소를 클릭하는 순간 악성코드가 설치돼 피해자도 모르는 사이에 소액결제 및 개인정보 등이 새나가는 것을 말한다.
스미싱은 보통 문자메시지내 인터넷주소 클릭→스마트폰에 악성코드 설치→범죄자에게 소액결제 인증번호 전송→범죄자가 게임아이템이나 사이버머니 구입→소액결제 대금청구 순의 과정으로 이뤄진다. 스미싱은 일상생활에서 흔히 일어날 수 있는 '교통위반 단속금 6만원 고지됐다', '이번주 토요일 결혼합니다' 등의 문자로 피해자들을 유혹한다.
거제경찰서 사이버수사대의 박상진 경장은 "악성코드의 역할은 클릭하는 순간 문자메시지를 탈취하는 것"이라면서 "그렇게 되면 게임사이트 같은 곳에서 소액결제를 할 때 나오는 인증번호를 피해자는 보지 못하고 상대방은 볼 수 있다"고 말했다.
박 경장은 "보통 인터넷 게임의 아이템거래 사이트에서 소액결제를 이용한 방법이 유행하다 최근에는 가짜 은행 앱이 유행하는 편"이라면서 "가짜 은행 앱은 클릭하는 순간 업데이트가 필요하다고 해 금융거래에 필요한 정보, 예를 들어 계좌번호, 보안카드 번호 등을 입력하게 한 다음에 그대로 돈을 탈취하는 수법"이라고 설명했다.
그러면서 "SNS 등으로 청첩장을 보내 돈을 탈취하는 경우도 있다"면서 "피해액은 1건당 20~30만원 정도"라고 덧붙였다.
이같은 스미싱의 피해사례는 2014년 한 해 동안 거제경찰서 사이버수사대에 접수된 사례만 500여건이 넘고 실제 피해사례는 더욱 많을 것이라는 것이 전문가들의 공통된 분석이다. 특히 범인이 검거되더라도 현실적으로 피해자가 보상받을 수 있는 방법이 거의 없어 예방만이 최선이라는 지적이다.
박 경장은 "실질적으로 인터넷뱅킹을 할 때 전화인증이라든지 SMS인증을 한다고 하면 직접 전화인증을 하는 것이 좋다"면서 "또 인터넷뱅킹 한도를 낮춰놓는다던지 출처가 확인되지 않은 문자메시지의 인터넷주소는 절대 클릭하지 말아야 한다"고 당부했다.
그는 "더욱 중요한 것은 자신의 개인정보를 함부로 입력하지 않는 것"이라면서 "미확인 앱이 스마트폰에 함부로 설치되지 않도록 스마트폰의 보안설정을 강화하고 스마트폰용 백신프로그램을 꼭 설치해 주기적으로 업데이트하는 것이 필요하다"고 강조했다.
한편 스미싱으로 의심되는 문자를 클릭했다면 우선 통신사 사이트에 들어가 소액결제를 차단하고 118에 전화를 걸어 공인인증서를 바로 파기하는 것이 바람직하다.
