[취재파일] 더 치밀해진 '스미싱'…'표적화'의 함정은

휴대전화 이용자 가운데 이런 문자 한 번 못 받아본 분이 계실까요? 발신자도 모르는 사람이고 문자 내용 사이사이에 저렇게 필터링을 막기 위해 이물질(?)이 들어가 있는 경우 이제 대부분의 이용자 분들은 섣불리 클릭하지 않으시겠죠. 결혼을 사칭한 이런 문자 말고도 교통 범칙금이 나왔다거나 택배 배송 현황을 알려준다며 클릭을 유도하는 스미싱 문자도 많습니다. 

한국인터넷진흥원(KISA)의 통계를 보면 올해 들어 탐지된 스미싱 가운데 결혼식을 사칭한 게 4만 5천여 건으로 전체의 67.9%를 차지하고 있습니다. 교통 범칙금 사칭은 만 7천여 건, 택배 사칭은 천 5백여 건입니다.  

한때는 국세청 연말정산 신고나 연말연시 연하장 등 계절을 탄 '계기성' 스미싱 문자들이 많아 정부 당국도 이용자들에게 주의하시라고 경보를 내린 적도 있는데 이제는 그런 것도 없이 그냥 일년 내내 일반적인 내용으로 스미싱을 보내고 있습니다. 경제 활동을 하는 사람, 그러니까 대부분의 성인이라면 늘 어디선가 누군가의 결혼식이 있고, 차도 타고 다니고, 인터넷 쇼핑으로 물건을 사기 때문이겠죠.

이제 말 그대로 스미싱은 그냥 '일상'의 영역으로 들어왔다고 해도 과언이 아닌 겁니다. 스미싱 문자를 보내는 해커를 모두 때려잡지 못한다면, 별 수 없이 이용자들이 늘 경계의 끈을 늦추지 않고 있어야 하겠습니다. 

앞서 인용한 한국인터넷진흥원의 자료를 조금 자세히 보겠습니다. 최근 스미싱의 트렌드를 어느 정도는 파악하고 있는 게 예방과 피해 방지에도 도움이 되기 때문입니다. KISA는 신종 스미싱의 특징으로 '표적화'를 들고 있습니다. 이 부분입니다.
  눈길을 끄는 부분은 '전화번호 입력 시 해커가 목표로 하는 특정 대상자 정보와 일치하는 경우에만 악성앱을 설치하도록 유도한다'는 부분입니다. 전화번호 입력창에 자기 번호 말고 아무 번호나 마음대로 입력한다고 해서 악성앱 설치 페이지로 이동하지는 않는다는 겁니다. 일단 무차별적으로 문자를 뿌리고 전화번호를 수집한 뒤 악성앱을 가능한 한 많은 이용자들이 설치하도록 하는 게 목적일텐데, 뭐하러 이렇게 귀찮은 단계를 만들었을까요. 당국에서 의심하는 '표적화'의 함정은 이렇습니다.

취재파일 독자 분들이라면 당연히 스미싱이 의심되는 문자에 포함된 인터넷 주소(URL)는 클릭하지 않으시겠지만, 일단 기본 단계로 인터넷주소(URL)를 클릭한 뒤 본인 확인 등의 이유로 전화번호를 입력하라는 창이 뜨는 단계까지는 기본으로  간다고 가정하고 설명드리겠습니다. 

① 해커가 특정 전화번호, 예를 들어 010-1234-5678에 스미싱 문자를 보내고, 해당 사용자가 전화번호 입력창에 자기 번호인 010-1234-5678을 입력한 경우 전화의 '본인 사용'이 입증됐으므로 악성앱 설치로 유도하는 경우입니다. 해커가 문자를 발송한 번호를 서버에 저장해 놓고 이용자가 입력한 정보와 바로 대조해 앱 설치까지 한 번에 가도록 하는 가장 일반적인 경우입니다.

② 해커가 010-1234-5678에 스미싱 문자를 보냈는데 이용자가 만약에 다른 번호, 예를 들어 010-1234-7890을 입력하면 보낸 번호와 입력한 번호가 다르게 되겠죠. 이 경우는 전화번호가 일치하지 않기 때문에 해당 모바일 페이지에서 '오류 메시지'를 보냅니다. 당장은 악성앱 설치로 유도하지 않는 건데, 이 경우 이용자에 따라 '틀리게(잘못) 입력했더니 오류가 난다'며 스미싱 사이트에 대한 신뢰도를 높게 조정할 수 있습니다.

결국 언제가 됐든 다음에 다시 자기 번호를 입력하게 되면 ①의 경우로 돌아가게 될 수 있습니다. 이용자가 스미싱을 직감하고 일부러 다르게 입력했다면 ①로 돌아가는 일은 없겠지만, 혹시라도 스미싱인줄 모르고 잘못 입력했다가 오류 메시지를 보면 결과적으로는 스미싱에 걸려들 확률이 훨씬 더 높아질 수도 있다는 겁니다. 

③ 이용자가 자기 번호도 아니고, 임의로 만든 번호를 입력했는데 오류 메시지가 뜨지 않고 악성앱 설치 페이지로 이동한다면 이용자가 입력한 그 번호가 해커의 데이터베이스에 '타겟'으로 등록돼 있을 수도 있습니다. 상황에 따라 가장 심각한 스미싱일 가능성마저 있는 경우입니다. 사실 ①과 ②의 경우는 해커와 이용자 개인의 1대 1 관계이므로 이용자 본인만 조심한다면 피해를 예방할 수 있습니다.

그런데 만약에 제가 그 입력창에 제 번호가 아닌 지인의 번호를 입력하거나 실제로 사용중일 것 같은 그럴듯한 번호를 입력했는데 오류 메시지 없이 악성앱 설치 페이지로 이동한다면 절반은 '이거 엉터리네' 하고 입력창에서 빠져 나올 수도 있지만(물론 그러셔야 합니다), 어쩌면 그 번호를 사용하는 사람의 개인정보를 해커들이 강하게 원하고 있을지도 모른다는 얘기입니다.  물론 이 부분은 해커가 사용하는 문자 발송 프로그램과 여기에 연동된 데이터베이스를 샅샅이 조사하지 않으면 알 수 없고, 안타깝께도 이 부분은 정부 당국의 노력에도 불구하고 명확하게 드러나있지는 않습니다. 말씀드린대로 '표적화' 스미싱은 시시각각 진화하는 스미싱 패턴이 최근에 도달한 단계이기 때문입니다. 그러나 소중한 개인정보, 금융정보를 지켜야 하는 우리 이용자 입장에서는 최악의 경우를 가정하지 않을 수가 없는 것이 현실입니다. 

다시 한 번 말씀드리지만, 문자메시지 사이에 의미없는 숫자나 알파벳, 특수문자가 포함되어 있다면 아무리 가슴철렁한, 혹은 반가운 내용이라도 문자에 포함된 인터넷주소(URL)를 클릭하지 않는 것이 상책입니다. 또 대중적인 모바일 백신을 이용해서 정기적으로 스마트폰을 점검하는 것도 방법입니다. 혹시나 이용 중에 실수로 스마트폰에 악성 앱이 설치된 것으로 의심된다면 한국인터넷진흥원에 전화 상담을 요청해 전문가들과 상의하시기 바랍니다. 한국인터넷진흥원의 상담센터 번호는 국번없이 118입니다. 

▶ "도로교통법 고지서 스마트폰 문자는 100％ 스미싱"
▶ 신종 스미싱, 특정 대상 노려…악성앱 삭제도 방해
▶ 경찰 "연말정산 관련 스미싱·파밍 주의해야"