트렌드

“난 안 당해” 하다간 ‘스미싱’에 당한다

2015.12.17

최근 김지영(가명)씨는 스마트폰 문자메시지 스미싱 범죄의 희생자가 됐다. 김씨는 대학에서 공학을 전공하고, 지금은 IT 업계에 종사 중이다. IT 제품과 최신 기술에도 관심이 많은 30대 김씨는 평소 스미싱 피해 사례를 남 이야기라고만 생각해 왔다. 하지만 도저히 당하지 않고는 못 배길만 한 상황이 연출되면 생각은 달라진다. 스마트폰이나 인터넷 기술에 관심이 많은 이들이라도 쉽게 빠져나갈 수 없는 게 문자 스미싱이더라는 게 김씨의 뒤늦은 하소연이다.

smart_phone_img_600

물건 주문한 다음 날 도착한 문자…알고 보니 스미싱

김씨가 국내 ㄴ 온라인 쇼핑몰에서 물건을 주문한 것은 지난 12월2일의 일이다. 평소 온라인 쇼핑을 즐겨 하지는 않지만, 필요한 물건을 싸게 구입할 수 있어 좋았다. 문제는 그 다음 날인 3일 오전과 오후 두 차례 도착한 문자메시지다. 처음으로 도착한 오전의 문자메시지 내용은 이렇다. 주문한 물건이 ㄷ 택배업체를 통해 잘 배송됐으니, 송장번호를 확인하라는 내용이었다. 문제는 이후에 도착한 오후의 문자메시지다. 두 번째 문자메시지에는 이렇게 쓰여 있었다.

“[ㄷ택배] 635*73택배미배송/지연 주소지확인 재배송일확인바람.”

주소가 확인되지 않아 택배를 받을 수 없다니. 아니 될 말 아닌가. 김씨는 문자메시지에 포함된 단축 URL을 클릭했다. ㄷ 택배회사의 문자메시지가 알려주는 대로 주소를 다시 입력하기 위해 ㄷ 택배회사 이름으로 된 앱도 내려받아 스마트폰에 설치했다. 다음 장면은 누구나 쉽게 상상할 수 있다. 김씨의 스마트폰이 해커의 악성코드 앱에 감염된 것이다.

김씨가 처음으로 받은 문자메시지는 전날 쇼핑몰에서 구입한 물건의 판매자가 보낸 정상적인 문자메시지다. 두 번째 문자메시지는 흔히 볼 수 있는 스미싱이다. 인터넷으로 물건을 자주 구입하는 편이 아닌 김씨가 하필이면 물건을 구입한 다음날 받은 스미싱 문자에 그만 낚여버린 사례다. 김씨는 당시 상황을 다음과 같이 회상한다.

“물건을 잘 배송했다는 판매자의 문자를 받은 이후 스미싱 문자가 왔거든요. 물건을 구입한 당일이나 한참 지난 후에 문자를 받았다면 절대로 그 문자메시지를 믿지 않았을 텐데, 타이밍 좋게 속은 거죠. 게다가 택배회사 이름도 똑같았으니까요.”

악성코드에 감염되자 김씨의 스마트폰은 모든 알림이 꺼졌다. 직후 본인 확인용 여섯 자리 숫자를 담은 문자메시지가 수십 통이나 발송됐다. 본인 확인을 요청하는 문자메시지가 발송 중이라는 사실을 숨기기 위해 악성코드가 임의로 스마트폰의 알림을 끈 것이다. 김씨는 이 같은 일이 벌어지고 있다는 사실을 나중에야 알아차렸다.

김씨는 “다행스럽게 소액결제 서비스를 이용하지 않아 금전적인 피해는 없었다”라며 “악성코드 앱은 지우고 스마트폰은 초기화했지만, 서비스센터에서는 교체하는 것을 권장했다”라고 설명했다.

text_800

김씨가 온라인 쇼핑몰로 부터 받은 정상적인 상품 배송 문자메시지(왼쪽)와 스미싱 문자메시지. 택배회사 이름까지 똑같아 주의를 기울여야 한다.

스미싱 예방은 마음 아닌 실천으로

스미싱 문자메시지는 어떻게 김씨의 쇼핑 정보를 알고 문자메시지를 보냈을까. 결론부터 말하면, 김씨는 기막힌 우연으로 스미싱 피해자가 된 것이다. 오후에 받은 두 번째 문자메시지는 김씨가 그 전날 쇼핑몰을 이용했는지와 관계없이 무작위로 뿌려진 문자메시지다. 택배업체 이름이 같은 것도 우연한 일치라는 게 보안업계 전문가의 설명이다.

스마트폰용 백신 ‘알약 안드로이드’를 개발하는 이스트소프트의 김진욱 홍보팀 팀장은 “해당 문자메시지는 무작위로 뿌리는 것으로 보인다”라며 “사용자가 쇼핑몰을 이용하는지 아닌지 감시하다가 스미싱 문자를 발송하는 것은 아니고, 사용자가 쇼핑몰을 이용한 시기와 교묘하게 일치해 피해를 본 사례”라고 설명했다.

스마트폰의 스미싱 문자메시지는 날이 갈수록 교묘하게 진화하고 있다. 김씨와 달리 온라인 쇼핑을 자주 이용하는 이들은 택배나 배송 관련 문구가 삽입된 문자메시지에 특히 주의해야 한다. 등기우편이 발송됐는데, 수신인 정보를 요청한다며 URL 터치를 유도하는 앱도 택배와 같은 이른바 ‘수취인 불명형’ 스미싱 문자메시지다.

비교적 일찍 사례가 알려진 모바일 청첩장을 가장한 문자메시지는 요즘도 흔하다. 또, 매년 봄∙가을 특히 기승을 부리는 예비군, 민방위 훈련 관련 문자메시지도 최근 주의를 기울여야 하는 수법이다. 병역의무를 마친 2~30대 남성이라면, 쉽게 지나칠 수 없는 문구인 탓이다.

다시 말해, 스미싱 문자메시지 범죄로부터 안전한 사람은 없다. 자신의 개인정보와 스마트폰 지키는 일은 오로지 예방법을 실천하는 일뿐이다. 안드로이드 스마트폰 사용자라면, 설정 응용프로그램(앱)에 들어가 ‘보안’ 항목에서 ‘출처를 알 수 없는 앱’ 체크박스의 ‘v’ 표를 해제하는 것이 필수다. 자주 사용하는 편이 아니라면, 가급적 스마트폰을 이용한 소액결제 서비스는 0원으로 막아두고, 모르는 번호로부터 온 문자메시지에 포함된 링크는 절대 터치하지 않는 것도 기본 중의 기본이다. 따라서 다음과 같은 표어를 마음에 품고 생활하는 것이 도움이 된다. ‘난 아니다 자만 말고, 실천으로 예방하자’

김진욱 팀장은 “문자메시지 스미싱 URL에 포함된 악성 코드는 몇 가지 유형으로 압축할 수 있지만, 문자메시지 내용은 언제든지 바뀔 수 있다”라며 “사회적인 사건이나 계절, 시기를 이용하는 등 문구는 얼마든지 새로 만들어질 수 있으니 주의해야 한다”라고 설명했다.

sideway@bloter.net

기술을 이야기하지만, 사람을 생각합니다. [트위터] @Sideway_s, [페이스북] facebook.com/sideways86, [구글+] gplus.to/sideway [e메일] sideway@bloter.net