[아주 돋보기] "더 치밀하게, 더 교묘하게 낚습니다"
2021-11-03 15:42
스미싱 문자, 3년 만에 3배 증가...날이 갈수록 수법 교묘해
개인정보 빼내 2차 피해 유발... 가족·공공기관 등 사칭해
피해 예방 위해 발신자 불명 URL은 절대 클릭하지 말아야
개인정보 빼내 2차 피해 유발... 가족·공공기관 등 사칭해
피해 예방 위해 발신자 불명 URL은 절대 클릭하지 말아야
스미싱을 통해 유출된 개인정보가 보이스피싱 등에 사용되면서 피해자들이 2차 피해를 호소하는 중이다. 2차 피해는 위조된 고소장이나 중고거래 도용 등 과거보다 사기 수법이 더 교묘하고 치밀하게 발전해 개인정보 관리에 주의가 요구된다.
3일 과학기술정보통신부에 따르면 최근 스미싱 사례가 급증세를 보이는 것으로 나타났다. 스미싱은 문자메시지(SMS)와 피싱(Fishing)의 합성어로 악성 앱 주소가 포함된 휴대폰 문자(SMS)를 대량으로 전송한 후 이용자가 악성 앱을 설치하도록 유도해 금융정보 등을 탈취하는 신종 사기 수법이다.
지난해 한국인터넷진흥원이 탐지한 스미싱 문자 건수는 총 95만843건으로 2018년보다 약 3배 가까이 증가했다. 2018년과 2019년에는 각각 24만2840건, 36만4586건씩 스미싱 문자가 탐지됐다.
최근 스미싱 문자는 더 교묘해져 수신자를 순식간에 속일 수 있는 내용이 포함된다. 지난해의 경우 코로나19 여파로 확진자 수치나 전염병 예방 수칙, 긴급재난지원금 등 사람들이 혹하는 정보를 사칭한 스미싱이 성행했다.
중앙방역대책본부는 “질병관리청을 사칭한 예방접종 증명서 관련 스미싱 사건이 보고됐다. 질병청은 사전 예약시스템을 통한 경우 외에는 개인정보를 일절 요구하지 않는다”며 스미싱에 유의할 것을 당부한 바 있다.
스미싱을 통해 유출된 개인정보는 또 다른 범죄에 사용된다. 금감원은 보이스피싱 전체 이용자 중 대포통장 등 2차 피해를 본 인원 비율은 지난해 4%(730명)에서 올해 6월까지 6.3%(431명)로 증가 추세를 보였다.
금융감독원은 “사기범이 탈취한 신분증 및 금융거래정보 등을 통해 피해자 모르게 핸드폰 개통 및 비대면 계좌 개설 후 대출 등 다양한 방법으로 자금을 편취한다. 피해자가 피해 사실을 인지하지 못해 구제가 어려워질 수 있고 규모가 확대될 우려가 있다”고 분석했다.
실제로, 지난달 개인정보 유출 피해를 보았다는 30대 A씨는 2차 피해를 호소했다. A씨는 “포털 사이트 아이디를 통해 휴대폰을 구매하겠다는 문자가 오기 시작하면서 해킹 사실을 알게 됐다. 이름, 나이, 전화번호, 주소 정도가 유출된 것 같다. 계정에 통장과 여러 인증서가 연결돼 있는데 소름이 끼쳤다”라고 회상했다.
A씨 개인 정보는 보이스피싱에도 사용됐다. A씨는 “전자금융거래법 위반으로 고소를 당했다는 문자와 함께 사건이 배당됐다는 내용이 담긴 서류를 받았다. 처음에 너무 당황했지만 표시된 번호가 이상했고 검찰청에서도 해당 번호를 피싱으로 보면 된다고 했다”라고 말했다.
이어 “이미 내 정보가 유출됐을 수도 있다는 막연한 생각은 있었다. 피해 관련 상담을 받아본 모든 곳에서 내가 비밀번호 관리 등을 잘하는 것 말고는 방법이 없다고 했다. 신고 절차도 까다로워 민원만 넣었는데 조치는 없다”고 덧붙였다.
개인정보를 이용해 가족을 사칭한 사례도 있다. 과기부에 따르면 60대 B씨는 자녀를 사칭해 “휴대폰이 고장 나서 임시 폰을 발급받았으며 인증이 필요하다”는 문자를 받았다. 당시 B씨 자녀 휴대폰은 실제로 바닷물에 침수돼 수리가 필요한 상황이라 B씨는 보이스피싱을 의심하지 않았다. 결국, B씨는 사기범 요구대로 금융정보를 넘겼고 사기범은 B씨 계좌에서 총 1억원을 빼냈다.
당국은 개인정보 유출로 인한 피해의 심각성을 인지하고 대처에 나섰다.
경찰은 지난 1일부터 보이스피싱 근절을 위해 특별 태스크포스팀(TF)을 만들어 4개월 동안 관련 범죄조직 검거에 나선 것으로 전해졌다.
경찰에 따르면 최근 3년간 파악된 보이스피싱 관련 범죄 조직 수는 약 100개다. 이중 해외에 있는 조직은 국내 조직원을 이용해 ‘불법 변작 중계기’를 설치해 보이스피싱을 시도한다.
외국에서 걸려오는 인터넷 전화 발신 번호는 불법 변작 중계기를 거쳐 국내 휴대폰 번호로 둔갑한다. 경찰 관계자는 “최근 단속이 강화되자 차량, 산길, 공사장 등 이동형으로 설치된 경우도 증가하고 있다”고 설명했다. 경찰은 외국 경찰 당국과도 협업해 해외에 있는 범죄 조직 검거와 송환을 강화할 계획이다.
현재 각 이동 통신사는 스미싱 문자 대부분을 스팸으로 처리해 사용자에게 도달하는 것을 막고 있다. 한국인터넷진흥원은 추가 피해 예방을 위해 문자 내 악성 URL이 있는지 분석하고 악성 앱 유포지 등을 접속 차단한다.
진흥원은 “사이버보안에 관한 기본법이 제정되면, 정보보호 법 제도를 체계화해 분야 간 사이버위험 정보공유를 활성화하고 산업 분야 간 정보 보호 협력을 강화할 수 있을 것으로 기대한다”고 전했다.
사이버경찰청은 스미싱 피해를 예방하기 위해 △발신자 불명의 URL 클릭 금지 △스마트폰 보안설정 강화 △OTP(일회용 비밀번호) 또는 보안 토큰 사용 △출처 불명 또는 금융기관 주소와 다른 주소로 된 이메일 수신 시 즉시 삭제 등을 강조했다.
또한, △전화로 검찰 등을 사칭하여 범죄에 연루되었다며 접근 △문자로 금융회사를 사칭하여 저리 대출 제공하겠다며 접근 △문자로 가족·지인을 사칭하며 접근 △출처를 알 수 없는 앱 설치 또는 인터넷 주소(URL) 클릭 유도 경우는 보이스피싱을 의심해야 한다,
보이스피싱이나 스미싱 피해가 의심된다면 관련 금융회사에 피해 신고를 하고 휴대폰을 초기화하거나 악성 앱을 삭제해야 한다. 추가 피해 여부는 금감원 ‘개인정보 노출자 사고예방시스템’, 금융결제원 ‘계좌정보통합관리서비스’, 한국정보통신진흥협회 ‘명의도용방지서비스’ 등에서 확인할 수 있다.
더 교묘해진 낚싯바늘...2차 피해까지 이어져
지난해 한국인터넷진흥원이 탐지한 스미싱 문자 건수는 총 95만843건으로 2018년보다 약 3배 가까이 증가했다. 2018년과 2019년에는 각각 24만2840건, 36만4586건씩 스미싱 문자가 탐지됐다.
최근 스미싱 문자는 더 교묘해져 수신자를 순식간에 속일 수 있는 내용이 포함된다. 지난해의 경우 코로나19 여파로 확진자 수치나 전염병 예방 수칙, 긴급재난지원금 등 사람들이 혹하는 정보를 사칭한 스미싱이 성행했다.
스미싱을 통해 유출된 개인정보는 또 다른 범죄에 사용된다. 금감원은 보이스피싱 전체 이용자 중 대포통장 등 2차 피해를 본 인원 비율은 지난해 4%(730명)에서 올해 6월까지 6.3%(431명)로 증가 추세를 보였다.
금융감독원은 “사기범이 탈취한 신분증 및 금융거래정보 등을 통해 피해자 모르게 핸드폰 개통 및 비대면 계좌 개설 후 대출 등 다양한 방법으로 자금을 편취한다. 피해자가 피해 사실을 인지하지 못해 구제가 어려워질 수 있고 규모가 확대될 우려가 있다”고 분석했다.
A씨 개인 정보는 보이스피싱에도 사용됐다. A씨는 “전자금융거래법 위반으로 고소를 당했다는 문자와 함께 사건이 배당됐다는 내용이 담긴 서류를 받았다. 처음에 너무 당황했지만 표시된 번호가 이상했고 검찰청에서도 해당 번호를 피싱으로 보면 된다고 했다”라고 말했다.
이어 “이미 내 정보가 유출됐을 수도 있다는 막연한 생각은 있었다. 피해 관련 상담을 받아본 모든 곳에서 내가 비밀번호 관리 등을 잘하는 것 말고는 방법이 없다고 했다. 신고 절차도 까다로워 민원만 넣었는데 조치는 없다”고 덧붙였다.
개인정보를 이용해 가족을 사칭한 사례도 있다. 과기부에 따르면 60대 B씨는 자녀를 사칭해 “휴대폰이 고장 나서 임시 폰을 발급받았으며 인증이 필요하다”는 문자를 받았다. 당시 B씨 자녀 휴대폰은 실제로 바닷물에 침수돼 수리가 필요한 상황이라 B씨는 보이스피싱을 의심하지 않았다. 결국, B씨는 사기범 요구대로 금융정보를 넘겼고 사기범은 B씨 계좌에서 총 1억원을 빼냈다.
본인 예방이 가장 중요... 피싱 의심되면 꼭 확인해야
경찰은 지난 1일부터 보이스피싱 근절을 위해 특별 태스크포스팀(TF)을 만들어 4개월 동안 관련 범죄조직 검거에 나선 것으로 전해졌다.
경찰에 따르면 최근 3년간 파악된 보이스피싱 관련 범죄 조직 수는 약 100개다. 이중 해외에 있는 조직은 국내 조직원을 이용해 ‘불법 변작 중계기’를 설치해 보이스피싱을 시도한다.
외국에서 걸려오는 인터넷 전화 발신 번호는 불법 변작 중계기를 거쳐 국내 휴대폰 번호로 둔갑한다. 경찰 관계자는 “최근 단속이 강화되자 차량, 산길, 공사장 등 이동형으로 설치된 경우도 증가하고 있다”고 설명했다. 경찰은 외국 경찰 당국과도 협업해 해외에 있는 범죄 조직 검거와 송환을 강화할 계획이다.
현재 각 이동 통신사는 스미싱 문자 대부분을 스팸으로 처리해 사용자에게 도달하는 것을 막고 있다. 한국인터넷진흥원은 추가 피해 예방을 위해 문자 내 악성 URL이 있는지 분석하고 악성 앱 유포지 등을 접속 차단한다.
진흥원은 “사이버보안에 관한 기본법이 제정되면, 정보보호 법 제도를 체계화해 분야 간 사이버위험 정보공유를 활성화하고 산업 분야 간 정보 보호 협력을 강화할 수 있을 것으로 기대한다”고 전했다.
사이버경찰청은 스미싱 피해를 예방하기 위해 △발신자 불명의 URL 클릭 금지 △스마트폰 보안설정 강화 △OTP(일회용 비밀번호) 또는 보안 토큰 사용 △출처 불명 또는 금융기관 주소와 다른 주소로 된 이메일 수신 시 즉시 삭제 등을 강조했다.
또한, △전화로 검찰 등을 사칭하여 범죄에 연루되었다며 접근 △문자로 금융회사를 사칭하여 저리 대출 제공하겠다며 접근 △문자로 가족·지인을 사칭하며 접근 △출처를 알 수 없는 앱 설치 또는 인터넷 주소(URL) 클릭 유도 경우는 보이스피싱을 의심해야 한다,
보이스피싱이나 스미싱 피해가 의심된다면 관련 금융회사에 피해 신고를 하고 휴대폰을 초기화하거나 악성 앱을 삭제해야 한다. 추가 피해 여부는 금감원 ‘개인정보 노출자 사고예방시스템’, 금융결제원 ‘계좌정보통합관리서비스’, 한국정보통신진흥협회 ‘명의도용방지서비스’ 등에서 확인할 수 있다.