[스미싱 돋보기] 공공기관 사칭 들끓어...1년새 14배 증가 보안

2012년 2182건에서 2013년 2만 9761건으로 14배 증가

피해금액, 2013년까지 무려 63억 3900만원

한 주간 공공기관·택배·결혼 등 사칭 스미싱 기승


[보안뉴스 김경애] 지난 한 주간은 결혼식, 생일과 같은 초대관련 스미싱과 택배, 선물, 공공기관 등을 사칭한 스미싱이 잇따라 발견돼 이용자들의 주의가 요구된다.

최근 5년간 스미싱 피해 현황(자료 출처: 새정치민주연합 임수경 의원)

이와 관련 본지가 지난 7일부터 13일까지 한 주간 발생한 스미싱을 분석한 결과 크게 결혼식과 생일, 택배와 선물, 공공기관 사칭 등 3갈래로 분류됐으며, 스미싱은 국정감사에서도 뜨거운 감자로 부각되고 있다.


새정치민주연합 임수경 의원이 경찰청으로부터 제출받은 자료에 따르면 2012년부터 지난 9월까지 집계된 스미싱 피해건수는 3만 5962건이며, 2012년 2182건(피해액 5억6900만원)에서 2013년에는 2만 9761건(피해액 57억 7000만원)으로 무려 14배나 증가한 것으로 나타났다. 피해금액은 2013년까지 63억 3900만원에 달한 것으로 조사됐다.


◆ 공공기관 사칭 스미싱, 27만 6395건

그 중에서도 공공기관을 사칭한 스미싱은 여전히 기승을 부리고 있는 것으로 나타났다. 한국인터넷진흥원이 운영하는 모바일앱 폰키퍼에 따르면 13일 ‘소방방재청 훈련 확인 www.m***e**.com’이라는 문구와 인터넷 주소인 URL이 포함된 스미싱 문자가, 이보다 앞서 지난 10일에는 ‘000님 민사소송건이 접수되었습니다 확인바랍니다 t**.kr/a***’문구와 인터넷주소인 URL이 포함된 스미싱 문자가 발견됐다.


또한, ‘국가재난정보센터’ 민방위사이트에 접속하면 소방방재청에서 13일 긴급공지로 ‘개인정보 유출 위험성이 있는 문자 또는 이메일 수신시 절대로 클릭하지 말 것’을 당부하고 있다. 소방방재청이 게재한 주의 문구에 따르면 ‘적극적인 시민참여 안전한 대한민국 화재대피 민방위 훈련 훈련일정 조회 및 개별통지서 수령하기 화면 클릭시 다운로드 됩니다’가 포함돼 있어 이용자들의 각별한 주의가 요구된다.


특히 소방방재청을 사칭한 스미싱의 경우, 민방위 스미싱과 관련이 깊다. 이는 민방위 훈련, 교육일정 등을 소방방재청이 관할하고 있기 때문이다. 더군다나 이용자 입장에서는 ‘교육일정 확인’, ‘통지서’ 등의 문구와 같은 민방위 관련 내용이 자세히 들어있으면, 아무 의심없이 쉽게 클릭할 수 있어 더욱 주의가 필요하다.


두 번째로 민사소송 관련 스미싱의 경우, 이미 기존에 지속적으로 발견되고 있던 전형적인 스미싱 유형이다. 특히 법원 사칭의 경우, 공공기관 중에서도 이용자들이 쉽게 속는 경향이 높아 여전히 들끓고 있다.


이와 관련 새정치민주연합 임내현 의원은 미래창조과학부와 경찰청이 제출한 국정감사 자료에서 ‘대법원, 각급 법원, 대검찰청 및 각급 검찰청 사칭 스미싱 피해현황’에 대해 지난 8일 밝힌 바 있다.


올해 1~8월까지 한국인터넷진흥원에 의해 적발된 ‘대법원, 각급 법원, 대검찰청 및 각급 검찰청 사칭 스미싱 피해현황’을 살펴보면 각급법원 사칭은 27만 6395건, 대검찰청 사칭은 2395건, 대법원 사칭은 163건이며, 이 기간 동안 전자결제산업협회에 접수된 피해금액은 2억 8102만원에 달하는 것으로 조사됐다.


하지만 피해를 당한 국민들 중의 신고비율은 높지 않은 것으로 분석돼 이용자들의 피해규모와 액수는 조사된 것보다 훨씬 웃돌 것으로 추정되며, 이용자들의 적극적인 신고와 보안의식이 요구되고 있다.

◆ 결혼과 생일초대 URL 클릭=스미싱 초대

이어 한 주간 기승을 부린 스미싱은 각종 행사가 많은 10월을 겨냥한 결혼, 생일 등 초대 스미싱인 것으로 나타났다.


13일 폰키퍼에 발견된 스미싱 내용을 살펴보면 ‘드디어저희결혼합니다축하해주세요 10월12일12시 꼭와주세요 https://**.l*/0**L0’문구와 인터넷 주소가 포함된 스미싱 문자가, 이보다 앞서 지난 7일에는 ‘생일파티에초청http://cl.**/1y0E3e1u****’ 스미싱 문자가 발견됐다.


이 또한 전형적인 스미싱 수법이다. 지인을 사칭한 스미싱의 경우, 이용자가 아무 의심 없이 인터넷 주소인 URL을 클릭하기 때문에 공격자 입장에서는 자주 이용하는 수법이다. 따라서 지인을 사칭한 스미싱 문자를 받을 경우 먼저 해당 지인에게 확인하는 습관을 갖도록 해야 한다.


◆ 택배·선물 URL 클릭=스미싱 선물

이어 지난 9일에는 ‘선물보냈어 ★ 확인해봐 ^^ http://hs*ng*k.com’ 문구와 인터넷 주소가 포함된 스미싱 문자가 발견됐으며, 이보다 하루 앞선 지난 8일의 경우 ‘[CJ대한통운]고객님게서 택배가 도착하였습니다 확인해주십시오 https://cl.**/2o3h2**192R’문구와 인터넷 주소가 포함된 스미싱 문자가 잇따라 발견됐다.


누구나 선물을 받거나 택배가 왔다고 하면 기쁜 마음 반 궁금한 마음 반에 해당 URL을 클릭할 확률이 높다. 이게 바로 이용자의 심리를 노리는 사회공학적 수법이다. 이는 앞서 나열된 스미싱이 모두 해당된다. 따라서 이용자는 해당 문자를 받을 경우, 절대로 URL을 클릭하지 않도록 주의해야 하며, 신고는 국번없이 118 또는 1332로 신고하면 된다.

원문 : http://www.boannews.com/media/view.asp?idx=43445