[IT동아 남시현 기자] 금융감독원이 지난해 발표한 2022년 보이스피싱 피해현황을 살펴보면, 코로나 19 이후 피해 금액과 피해자 수는 감소했지만, 메신저, SNS 등 비대면 채널을 활용한 사칭 메신저 피싱은 크게 증가하는 추세로 나타났다. 특히 30대에서 50대의 보이스피싱 피해 금액은 감소 추세인 반면, 사회경험이 부족한 20대 청년층과 금융사기 예방이 어려운 60대 이상 고령층에서 피해 금액 비중이 증가하는 추세다.

작년 연말부터는 더욱 고도화된 방법들이 등장하고 있다. 예를 들어 카드 해외 부정 사용이나 연말 정산, 합격 문자, 장례식, 청첩장, 택배 등을 빙자한 스미싱 문자를 발송하고, 무심코 링크를 누르면 악성앱 설치를 유도해 계좌에서 돈을 이체하는 방식이 대표적이다. 본인이 평소에 보이스피싱에 대해 잘 알고 있어도 은연중에 걸릴 수 있는 방식이다.

특히 외부앱 설치를 허용하지 않는 애플 아이폰과 달리, 안드로이드 스마트폰은 깜빡하고 외부앱 설치를 허용해 사기에 휘말릴 수 있다. IT하는법을 통해 스미싱 피해를 예방하는 외부앱 설치 차단 방법을 소개한다.

외부 앱 설치 차단, 스미싱 막는 핵심 수단

대다수 스미싱은 사용자가 문자에 있는 URL을 누르는 것부터 시작한다. URL을 누르면 가짜 페이지로 이동해 계정 혹은 개인정보를 탈취하는 방식이 대표적이고, 가짜 페이지로 접속하자마자 악성 스크립트를 허용해 단말기 내 주요 정보가 탈취되기도 한다. 또한 링크를 통해 악성 앱이 설치되고, 이를 시작으로 스마트폰의 핵심 정보 및 자산 등이 통째로 넘어갈 수도 있다.

가장 좋은 방법은 당연히 URL을 누르지 않는 것이고, 이번에 소개하는 방법은 최악의 피해로 이어지는 악성 앱 설치를 막는 방법이다. 다만 보안 위험 자동 차단은 원 UI 6.0 업데이트를 지원하는 최신 갤럭시 스마트폰에서만 지원되고, 그 이하 버전은 수동으로 설정해야 한다.

보안 위험 자동 차단을 지원하는 최신 안드로이드 스마트폰의 경우, 설정으로 진입한 다음 아래에 있는 ‘보안 위험 자동 차단’을 선택한다. 해당 기능은 자동으로 켜져 있지만, 사용자의 습관 및 작업 환경에 따라 꺼져있을 수 있다. 해당 기능을 켜면 외부앱 설치가 차단된다.

보안 위험 자동 차단을 사용 중으로 설정하면 아래 고급 메뉴를 통해 세부 설정을 할 수 있다. 우선 메시지 앱 보호를 켜면 메시지 앱에서 소프트웨어가 설치될 것으로 예상되는 경우를 차단한다. 또 USB 케이블을 사용한 소프트웨어 업데이트 차단을 활용하면 유선으로 장치에 악성 앱을 설치하는 경우를 막는다. 최근 해외에서는 공항 USB 포트 등 공공 충전 단자로 악성 앱을 유포하는 사례가 있어 이를 방지하기 위함이다.

아울러 인증되지 않은 출처의 앱 차단으로 진입하면 현재 설치된 앱 중 구글 플레이스토어 이외의 경로에서 다운로드 및 설치된 파일을 볼 수 있다. 대체로 갤럭시 스토어나 원스토어에서 설치된 파일, 혹은 처음부터 설치되어 있는 파일 등이 많다. 혹은 기기 구매후 QR코드로 바로 다운로드한 파일도 해당된다. 만약 정체를 알 수 없거나 수상한 앱이 있다면 별도로 찾아서 삭제하자.

원 UI 5.0 이하 버전의 스마트폰의 경우, 출처를 알 수 없는 앱을 허용하지 않는 정도의 보안만 지원한다. 설정에서 생체 인식 및 보안으로 접근한 뒤, 출처를 알 수 없는 앱 설치로 진입하고 혹시 허용되어 있는 앱이 있다면 취소한다.

또한 안드로이드 자체에서 스미싱 등으로 파일 설치가 유도될 경우 ‘유해한 파일일 수도 있음’이라고 알림이 가므로 이 단계에서 취소를 누르고, 설치를 하려 해도 바로 설치가 되지 않는다. 굳이 설정으로 진입해 출처를 알 수 없는 앱에서 허용을 해주지 않는다면 악성앱 설치를 예방할 수 있다.

만약 스미싱 피해가 예상된다면 한국인터넷진흥원의 118 사이버도우미 서비스 혹은 112에 신고하자. 특히 악성 앱이 설치된 단계에서는 정부 기관에 거는 전화까지 탈취될 수 있으니 이럴 때는 타인의 휴대폰으로 주변의 경찰에게 도움을 요청하고, 가까운 은행 방문 혹은 거래 금융사 콜센터, 어카운트인포 홈페이지를 방문해 ‘본인계좌 일괄지급정지’를 신청하면 된다.

글 / IT동아 남시현 (sh@itdonga.com)

경찰청에 따르면 지난해 12월 전화금융사기(보이스피싱)로 인한 피해액이 561억 원에 달했다고 합니다. 사회적으로 보이스피싱에 대한 경각심이 커짐에도 피해가 끊이지 않는 건 갈수록 수법이 교묘해지고 있는 탓입니다.

특히 최근에는 전화로 이뤄지는 보이스피싱뿐만 아니라 문자 메시지를 이용하는 스미싱(Smishing, SMS+Phishing, 사기 행각에 악용되는 문자 메시지)도 활개를 칩니다. 스미싱은 주로 부고나 청첩장, 택배 송장 확인, 각종 공공기관 및 금융기관 등을 사칭하며 악성 앱 설치로 연결되는 인터넷 주소(URL) 클릭을 유도합니다.

이런 악성 앱에 감염된 스마트폰은, 사기범이 마음대로 주무를 수 있는 ‘좀비폰’이 됩니다. 개인정보나 금융 정보 탈취 등의 큰 피해로 이어지니 주의해야 합니다.

따라서 평소 확인되지 않은 번호로 오는 문자, 정체불명의 URL이 담긴 문자가 온다면 ‘혹시 스미싱은 아닐까’ 의심하는 태도가 필요합니다. 아래 소개하는 것과 같은 대표적인 스미싱 유형과 특징을 숙지하는 것도 도움이 됩니다.

부고, 청첩장

부고와 청첩장을 가장한 스미싱은 흔하게 접할 수 있는 유형입니다. 이런 문자는 사실 자세히 보면 부고나, 청첩장에 당연히 담겨야 할 필수적인 정보가 없는 경우가 대부분입니다.

예를 들어 정상적인 부고 문자라면 고인과 상주, 빈소, 발인 등 구체적 정보가 함께 담기기 마련입니다. 하지만 스미싱 문자의 경우 다짜고짜 ‘아버님이 별세하셨기에 알려드린다’며 URL 클릭을 유도합니다.

모바일 청첩장도 비슷합니다. 신랑신부 이름, 혼주 같은 기본적인 정보가 담겨 있지 않은 채 URL 클릭을 유도한다면 스미싱일 가능성이 매우 높습니다.

청첩장 미리보기 사진이 뜨는지 확인하는 것도 좋은 구분법입니다. 최근 청첩장 업체들은 스미싱으로 오해받는 걸 피하고자 문자나 카카오톡에서 실제 신랑신부 사진이 담긴 미리보기 화면이 함께 표시되도록 하는 추세기 때문입니다.

아무런 구체적 정보 없이 송년회, 동창회 등 모임에 초청한다며 URL을 첨부해 보내는 문자도 대부분 스미싱이니 주의해야 합니다.

택배 문자

택배를 사칭하는 스미싱은 특히 설, 추석처럼 선물 배송이 급증하는 시기에 기승을 부립니다. 보통 ‘배송지를 선택하라’거나, ‘주소 불명 혹은 불일치로 반송 처리되니 주소를 확인하라’며 URL 클릭을 유도합니다. 배송이 완료됐다며 사진을 확인하라는 유형도 있습니다. URL을 누르면 해당 택배사들 홈페이지를 흉내 낸 가짜 웹사이트로 연결해 악성 앱 설치를 유도합니다.

실제 택배사들도 부재 시 위탁 장소 선택이나, 실시간 배송 정보 안내를 위한 URL을 함께 보내곤 합니다. 이 때 택배사는 자사의 이름과 송장 번호 등이 그대로 포함돼 길이가 긴 URL을 씁니다. 반면, 스미싱은 무작위 알파벳 문자와 숫자로만 구성돼 길이가 짧은 URL을 주로 씁니다.

정상적인 문자와 달리 물품명, 운송장 번호 같은 필수 정보가 빠져있는 것도 스미싱 문자의 특징이니, 이런 정보가 기재되어 있는지도 잘 살펴보아야 합니다.

받은 문자가 이전부터 배송 문자를 계속 보낸 번호, 즉, 담당 택배 기사가 보낸 문자가 맞는지 확인하는 것도 좋은 방법입니다. 보통 한 지역은 한 택배 기사가 담당하는 게 일반적입니다. 이 경우 배송 문자를 보낸 번호는 휴대전화 번호입니다. 따라서 우리 동네 담당 택배기사가 아닌, 다른 번호나 생소한 번호로 온 문자라면 일단 스미싱을 의심해야 합니다.

아르바이트·직원 구인 문자

직원이나 아르바이트를 채용한다는 문자를 보내 유인하는 스미싱 유형도 있습니다. 고수익을 약속하며 사람들의 흥미를 끈 뒤, 상담이나 문의를 빌미로 카카오톡 채팅방으로 유인합니다. 누구나 이름을 들으면 알 법한 유명 기업을 사칭하기도 합니다.

정상적인 기업이 직원을 구한다며 불특정 다수에게 문자를 보내는 경우는 없으니, 이런 문자를 받았을 때 절대 대응하지 말고 무시해야 합니다. 자칫 잘못하면 대포통장 개설에 악용되거나 사기 일당의 수금책이 되어 범죄자로 전락할 수 있습니다.

각종 기관 사칭

매해 연말정산이나 부가가치세 신고 기간에 국세청 등을 사칭하는 스미싱이 등장합니다. 이외에도 도로교통공단을 사칭해 미납 고속도로 통행료, 과태료를 확인하라거나 국민연금공단을 사칭해 수급 자격 인정 통지서라며 악성 앱 설치 주소를 보내는 경우도 보고됩니다.

이처럼 기관을 칭하며 오는 문자라면 해당 기관의 공식 번호나 공식 카카오톡 계정으로 온 게 맞는지 확인하도록 합시다. 개인번호나 인터넷 전화 번호, 001·003·006·007·009 등으로 시작하는 국제전화번호로 온 문자, 정체불명의 이용자가 보낸 카카오톡이라면 스미싱으로 보면 됩니다.

스마트폰 보안 설정으로 악성앱 설치 차단 해야

유형을 미리 알고 주의하는 것만으로는 한계가 있습니다. 지금까지보다 더 그럴싸한, 새로운 스미싱 사례가 언제 등장해도 이상하지 않기 때문입니다. 그래서 필요한 게 스마트폰 보안 설정 등의 예방 조치입니다. 스미싱은 주로 갤럭시를 비롯한 안드로이드 스마트폰을 노립니다. 공식 앱스토어를 통해서만 앱을 설치할 수 있는 아이폰과 달리, 안드로이드 스마트폰은 출처 불명의 앱도 설치 가능한 까닭입니다. 이 때문에 스미싱에 의한 악성 앱 피해를 예방하려면 ‘출처를 알 수 없는 앱 설치’를 차단해 두는 게 좋습니다.

대표적으로 삼성 갤럭시에는 출처를 알 수 없는 앱 설치를 비롯한 각종 보안 위험을 알아서 차단해 주는 ‘보안 위험 자동 차단’ 기능이 있으니 이를 반드시 켜두고 사용하길 권합니다. 설정 화면에서 ‘보안 및 개인정보 보호’에서 ‘보안 위험 자동 차단’을 ‘사용 중’으로 바꾸면 됩니다.

글 / IT동아 권택경 (tk@itdonga.com)