태영호·제프 베이조스도 당했다?..'긴급재난지원금 안내'까지 사칭하는 스미싱 문자, 이미 클릭했다면?

코로나19 사태까지 악용
비밀번호 다양화·2단계 인증 필수
클릭했다면 악성 앱 즉시 삭제해야

[서울경제] #지난 2월 보안업체 이스트시큐리티는 미래통합당 태영호 국회의원 당선인의 스마트폰에 저장된 연락처와 문자메시지, 사진 등 개인정보가 북한 연계 의심 해커조직 ‘금성121’의 서버에서 발견됐다고 밝혔다. 금성121은 악성코드를 태 당선인의 스마트폰에 심어 개인정보를 훔친 것으로 전해졌다.

#지난해 제프 베이조스 아마존 최고경영자(CEO)가 애인에게 보낸 문자 메시지가 유출됐다. 지난 1월 가디언과 파이낸셜타임스 등 영국 언론은 2018년 5월 무함마드 빈 살만 사우디아라비아 왕세자가 보낸 모바일 채팅앱 ‘왓츠앱’ 메시지에 악성코드가 첨부돼 있었다고 보도했다.

태 당선인과 베이조스는 스미싱(문자메시지(SMS)와+피싱(Phishing)의 합성어) 수법에 당한 것으로 추정된다. 스미싱 문자메시지에 포함된 인터넷 주소(URL)를 클릭하면 사이버 공격이 본격적으로 시작된다. 악성 애플리케이션이 설치되어 스마트폰 속 개인정보를 훔친다. 또는 제조사·금융기관 사칭 홈페이지에서 로그인을 유도해 아이디와 비밀번호를 탈취한다. 최근 신종 코로나바이러스 감염증(코로나19)과 ‘n번방 사건’까지 악용한 스미싱 문자까지 등장하면서 주의가 요구되고 있다.

국가정보원의 코로나19 스미싱 피해예방 행동수칙/국가정보원 홈페이지 캡처

━

코로나19·n번방까지 악용하는 스미싱

사회적 이목이 쏠린 사건으로 자극해 개인정보 탈취를 시도하는 스미싱이 기승을 부리고 있다. 특히 코로나19 사태로 인한 공포를 악용하는 사이버 공격이 폭증하고 있다. 한국인터넷진흥원에 따르면 코로나19 관련 스미싱 문자는 지난 29일 기준 1만170여 건 신고 접수됐다. 코로나 19 관련 스미싱 공격은 ‘마스크 무료배포’, ‘확진자 동선’, ‘코로나로 인한 택배배송 지연’ 등으로 시작했다. 소상공인, 영세사업자의 불안을 악용한 스미싱까지 등장했다.

긴급재난지원금 관련 스미싱 문자/사진제공=서울시

방송통신위원회, 금융감독원, 경찰청은 지난 29일 ‘정부긴급재난지원대출 안내’를 사칭하고 제도권 은행 상호 및 공공기관으로 속인 스미싱 문자가 증가했다고 밝혔다. 기금지원으로 현혹하는 스미싱도 등장했다. 지난 21일 서울시는 재난긴급생활비(서울시), 재난기본소득(경기도) 등 기금관련 스미싱 의심 문자가 4월 1일부터 13일까지 한국인터넷진흥원에 130여 건 신고됐다고 밝혔다. 행정안전부는 3일 긴급재난지원금과 관련해 인터넷주소 클릭을 유도하는 문자에 대해 주의를 당부했다.

n번방 사건을 악용한 스미싱 공격/사진제공=이스트시큐리티

n번방 사건을 악용한 스미싱 공격도 등장했다. 지난 3월 이스트시큐리티 시큐리티대응센터(ESRC)는 n번방 전체 회원 신상을 공개한다는 내용과 함께 URL을 첨부한 스미싱 문자가 전송됐다고 밝혔다.

━

스미싱 피해를 예방하려면?

해커는 이용자의 기기정보, SMS, 주소록, 통화기록, 설치 앱 리스트, 위치정보 등 개인정보를 노린다. 해킹한 스마트폰으로 통화 녹음과 비디오 녹화, 추가 앱 다운로드까지 할 수 있다.

이에 대해 국가정보원·한국인터넷진흥원·방송통신위원회·금융감독원·금융위원회 등 기관은 스미싱 예방책과 대응책을 밝히고 있다.

정부지원 대출 관련 스미싱/사진제공=방송통신위원회

출처가 불분명한 메시지에 있는 의심스러운 인터넷 주소(URL), 전화번호를 누르지 않는 것이 최선의 방법이다. 지인에게 받은 메시지라도 클릭 전에 재확인하는 것이 좋다. 긴급재난지원금 지급 안내 문자메시지에는 인터넷주소가 포함되어 있지 않다. 서울시 지역사랑상품권을 결제할 때도 확인문자가 발송되지 않으며, 상품권을 ‘제로페이’ 앱 등에 등록하도록 개인식별번호(PIN) 안내를 위해서만 문자메시지를 단 한 번 보낸다. 금감원 관계자는 “공공기관은 전화나 문자메시지로 금융상품 대출광고를 하지 않는다”며 “시중은행 대출 담당자로 소개하며 모바일 앱 설치·개인정보 입력을 요구하면 100% 불법대출 사기”라고 설명했다.

스마트폰 자체 보안 수준을 높이는 것도 중요하다. 스마트폰 운영체제와 앱을 최신상태로 업데이트해야 한다. 스마트폰 백신 프로그램으로 실시간 감시를 하고 앱을 지속해서 업데이트하는 것도 필수다. 앱은 공식 앱스토어에서만 다운 받아야 한다. 확인되지 않은 앱이 설치되지 않도록 스마트폰의 보안설정을 강화해야 한다. 스마트폰 내에 주민등록증·보안카드 사진이나 비밀번호 등을 저장하는 것을 지양해야 한다.

사이트마다 다른 비밀번호를 설정하고, 주기적으로 비밀번호를 변경하는 것도 중요하다. 해커는 한 사이트를 뚫어 훔친 아이디와 비밀번호를 이용하여 다른 사이트도 접근하기 때문이다.

2단계 인증도 필수다. 아이디와 비밀번호를 입력한 후, SMS 인증, 스마트폰 앱 인증 등 본인확인을 한 번 더 하는 절차다. 해커가 로그인시도를 해도 이용자의 기기로 인증 절차를 거치지 못하면 최종 로그인을 할 수 없다. 삼성전자는 지난 1월 배우 주진모의 스마트폰 해킹 사건이 발생했을 때 2단계 인증을 이용하도록 당부한 바 있다.

지난 1월 삼성전자의 커뮤니티 ‘삼성멤버스’에 등록된 보안 강화 조치 안내 공지사항/삼성멤버스 캡쳐

━

스미싱 문자 속 URL 이미 클릭했다면?

악성 앱과 설치파일을 즉시 삭제하는 것이 필수다. 모바일 백신을 통해서 지우거나 서비스센터를 방문해서 제거해도 된다.

스마트폰에 저장되어있는 공인인증서를 폐기하고 재발급해야 한다. 금융거래에 필요한 정보가 유출될 가능성도 있다.

지인에게 스미싱 피해 사실을 알려서 2차 피해를 막아야 한다. 해커가 주소록에 있는 사람들에게 유사한 스미싱을 발송할 수 있기 때문이다.

한국인터넷진흥원 불법스팸대응센터에 신고한다. 국번없이 ☎118에 전화하면 악성 앱 제거 방법 등을 24시간 무료로 상담받을 수 있다.

모바일 결제 내역도 이동통신사 고객센터를 통해 확인한 뒤 대처한다. 결제 피해가 확인되면 통신사 고객센터에 스미싱 피해를 신고하고 소액결제확인서 발급받는다. 경찰서 사이버수사대 또는 민원실에 소액결제확인서를 제출하고 사고 내역을 신고한다. 경찰에게 사건사고 사실 확인서 발급받아 통신사, 결제대행 업체, 게임사 등에 제출하고 피해구제를 받는다.

송금·이체를 했다면 은행 고객센터 또는 ☎112·182(경찰) ☎1332(금융감독원)에 송금·이체한 계좌에 대해 지급정지를 요청한다. /김성태기자 kim@sedaily.com