"할머니, 저에요"…URL 함부로 눌렀다가 털린다

점점 고도화되는 스미싱·큐싱 수법
지인 연락처 악용해 악성 URL·QR코드 유포
"지인 문자라도 URL 절대 클릭 말아야"

(게티이미지뱅크)

악성 URL이 담긴 문자를 통해 금전을 갈취하는 '스미싱' 범죄 수법이 갈수록 고도화되고 있다. 최근에는 인터넷 주소(URL) 차단 기술을 우회하기 위해 전화를 걸어 일반 대화로 위장하거나 지인 연락처로 유해 URL이 담긴 문자를 보내는 수법이 유행하고 있다.

31일 한국인터넷진흥원(KISA)에 따르면 올해 1~2월 스미싱 사칭 탐지 건수는 총 40만 9587건이다. 1월 16만 5005건, 2월 24만 4582건이다. 유형별로는 계정 탈취 유형이 많았다. '로맨스 스캠' 등 2차 범죄에 활용하기 위해 텔레그램, 인스타그램 등을 탈취하는 수법이다. 이어 △공공기관 사칭 15만 8744건 △지인 사칭 3만 1737건 △택배 사칭 416건 △기타 50건 △금융 사칭 8건 순으로 많았다.

최근 스미싱 공격 전략은 단순 URL 배포를 넘어 전화 통화를 유도해 정상 원격 제어앱을 설치한 뒤 악성 앱을 설치하는 방식으로 전화하고 있다. 구글 플레이스토어에서 특정 앱을 설치하고 인증 번호를 알려주면 확인을 도와주겠다는 방식이다. 마일리지 쿠폰 등으로 위장한 QR코드를 전달해 악성앱을 설치하는 수법도 있다.

마일리지 QR코드 전달 방식의 경우, 첫 번째 피해자가 주변인들에게 쿠폰 배포를 유도하는 식으로 2차 피해를 유발한다. 지인이 보낸 QR코드, 쿠폰 등을 쉽게 믿고 내려받았다가는 악성 앱에 감염될 수 있다.

스미싱 문자의 경우, 계절별 유행을 타기도 한다. 결혼이 많은 3~5월에는 청첩장을 사칭한 링크가, 10~12월에는 부고장을 사칭한 경우가 많다. 최근에는 이미 해킹된 번호를 활용해 지인에게 스미싱 문자를 보내는 방식으로 2차 피해가 발생하는 경우가 늘었다.

김은성 KISA 스미싱대응팀장은 "최근에는 모르는 번호 문자가 아니라 실제 지인 연락처를 통해 스미싱 문자가 오는 경우가 있다"면서 "실제 어떤 개인이 이미 피해를 입었고 그 사람 핸드폰 연락처를 통해 문자를 유포한다"라고 말했다.

의심되는 스미싱·QR코드인 경우 KISA에서 운영하는 스미싱·큐싱 확인 서비스를 통해 판정을 받을 수 있다. 카카오톡에서 보호나라 채널을 추가한 뒤, 의심되는 스미싱 문자나 QR코드를 전송한 뒤 안전한지 판단을 받을 수 있다.

김 팀장은 "지인에게서 온 문자 메시지이더라도 문자 메시지에 있는 URL을 아예 클릭하지 말고, 앱도 구글, 애플 공식 스토어에서만 설치해야 한다"고 강조했다.