보안

"추석선물 배송이 취소됐습니다" 아차 싶을 때 개인정보 훔치는 '스미싱' 주의

김보민 기자
추석 명절을 앞둔 이달 8일 서울 시내 한 전통시장에서 상인이 사과 상자를 포장하고 있다. [ⓒ연합뉴스]
추석 명절을 앞둔 이달 8일 서울 시내 한 전통시장에서 상인이 사과 상자를 포장하고 있다. [ⓒ연합뉴스]

[디지털데일리 김보민기자] 추석 명절이 다가올 때마다 휴대전화를 울리는 불청객이 있다. 문자 메시지로 사용자를 낚아 개인정보를 탈취해가는 '스미싱 공격자'가 주인공이다. 이번 추석 또한 택배 브랜드, 기관, 지인을 사칭하는 공격이 이어질 수 있어 각별한 주의가 필요하다.

유명한 배송회사 이름에 속지 말라 : '택배 브랜드 사칭'

추석 명절의 경우 그동안 감사했던 사람에게 선물을 주고받는 시기다. 택배 브랜드로부터 배송 현황에 대한 문자가 오거나 메신저를 통해 알림이 오는 경우가 많은데, 스미싱 공격자도 이 점을 노리고 있다.

일례로 '김00 님이 추석 선물세트를 보내셨어요, 아래 링크를 눌러 수령하실 주소를 입력해주세요', '주문하신 추석 선물세트의 배송이 취소됐습니다, 아래 링크에서 자세한 내용을 확인하고 환불 받을 계좌를 입력하세요' 등의 내용으로 사용자를 낚는다. 주로 배송 현황 및 취소 안내, 결제 요청, 환불 계좌 입력 등의 내용이다.

유명 택배 브랜드를 사칭하기도 한다. 안랩시큐리티인텔리전스센터(ASEC)가 블로그를 통해 공개한 올해 2분기 배송 서비스별 피싱 메시지 통계를 보면 CJ 배달 서비스를 사칭한 메시지가 45.4%로 가장 많았고 쿠팡, 로젠, 한진, 롯데 등이 뒤를 이었다.

때문에 본인이 구매하지 않았거나, 미리 연락을 받지 않은 배송 제품에 대한 문자는 경계할 필요가 있다. 의심스러운 연락이 올 경우, 문자에 포함된 인터넷 주소를 누르지 말고 사실관계를 확인할 필요가 있다. 해당 택배 브랜드의 공식 홈페이지 및 서비스에 별도 접속해 배송 현황을 확인하는 방법도 있다. 이 밖에도 정부 기관 등을 사칭하는 경우도 있어, 반드시 공식 경로를 통해 사실 여부를 확인해야 한다.

결혼·부고 연락도 거짓일 수 있다 : '지인 사칭'

스미싱 공격의 단골 기법으로는 지인 사칭이 있다. '나 000인데, 핸드폰을 잃어버렸어'라는 내용의 문자는 물론, 실제 저장된 번호로 연락이 올 수도 있어 각별한 주의가 요구된다.

이러한 지인 사칭 스미싱 공격은 주로 모바일 청첩장이나 부고 소식을 전달하는 방식으로 가해진다. '존경하는 아버님께서 오랜 시간 동안 투병 하시다 별세하셨음을 알린다'는 내용과 함께, 장례식장 정보 등을 포함했다며 인터넷 주소를 전달하는 방식이다. 추석, 명절, 연휴, 축하, 기념 등 관련 키워드를 넣어 관심을 끌 수도 있다.

경찰청은 최근 지인 사칭 스미싱을 주의하라는 안내문과 함께, '여행' 키워드가 들어갈 수가 있다고 밝혔다. '지난 여챙 중에 만난 사람입니다, 9월 중순에 한국 여행 계획 중인데 그 때 만날 수 있을까요?' 등의 내용이다. 이러한 스미싱 공격에는 '저의 메신저 아이디를 추가해주세요'라는 내용과 함께 실제 계정 정보와 유사한 영문 및 숫자 조합을 보내는 경우가 있다.

이럴 경우 메신저에 아이디를 추가하지 않고, 즉각 문자를 삭제한 뒤 응답하지 않을 필요가 있다. 지인을 사칭했을 경우 실제 번호로 사실 관계를 확인해야 하고, 모르는 번호로 올 경우에는 응하지 않아야 한다.

아무리 궁금해도, 투자정보 문자는 멀리하라 : '고수익 스팸'

연휴 기간에는 평소 관심 있었던 투자 정보를 검색해 보거나, 새로운 투자처를 찾아보는 시간이 늘어난다. 때문에 관련 키워드를 이용한 스미싱 및 스팸 공격도 기승을 부릴 수 있다.

다만 주식리딩, 코인 및 다단계 투자, 쇼핑몰 리뷰 아르바이트로 위장한 문자는 경계해야 한다. 보통 "고수익을 보장한다"는 내용으로 연락이 오는데, 이 때 링크를 누르거나 문자 속 계정 정보를 메신저에 추가할 경우 2차, 3차 피해가 이어질 수 있다.

대부분 이러한 방식의 스미싱 공격은 유형이 비슷하다. '<재택근무/부업가능> 근무시간 자유, 장소 자유. 열심히 한 만큼 벌어가세요'와 같은 문구나 '매일 백만원의 수익을 얻을 수 있습니다! 링크를 눌러 채팅방에서 정보를 얻어가세요' 등의 내용이다.

이러한 경우는 허위 투자 정보와 가짜 프로그램으로 금전을 탈취하거나 물건 선결제를 유도하는 사기일 가능성이 높다. 문자 속 링크를 누르거나, 메신저에 계정 정보를 추가하지 말아야 한다.

한편 주요 당국은 연휴 기간을 노린 스미싱 공격에 따른 피해를 최소화하는 데 주력할 예정이다. 과학기술정보통신부(이하 과기정통부)와 한국인터넷진흥원(KISA)은 24시간 탐지 체계를 운영하고, 스미싱 확인 서비스를 통해 신고 및 접수된 정보를 분석한다. 금융사기 사이트, 악성 앱 유포지 등에 대한 긴급 차단 조치를 지원해 국민 피해를 최소화한다는 계획이다.

방송통신위원회(이하 방통위)는 이동통신 3사, 한국정보통신진흥협회(KAIT)와 협력해 각 통신사 명의 가입자에게 결제사기 문자 주의 안내를 발송하고 있다.

경찰청은 인터넷 사기 의심 전화와 계좌번호 등을 조회할 수 있는 페이지를 운영 중이다. 혹 비대면 거래가 불가피할 경우에는 해당 사이트에서 사기피해신고 접수 여부를 먼저 확인하면 된다.

김보민 기자
kimbm@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널