아는 지인에게서 선물이 도착했다며 URL이 포함된 문자가 온다면, 기쁜 마음보다 ‘설마’하는 의심이 드는 것이 요즘의 세태다. 극성을 부리고 있는 ‘스미싱’ 때문이다.

스미싱은 문자 메세지를 이용한 새로운 휴대폰 해킹 기법을 말한다. 웹사이트 링크가 포함된 문자 메시지를 보내 휴대폰 사용자가 링크를 클릭하면 악성코드를 주입해 범죄자가 휴대폰을 통제할 수 있게 하는 것이다. 범죄자는 악성코드에 감염된 휴대폰을 이용해 사용자 모르게 소액 결제를 하거나, 인터넷뱅킹을 해킹해 계좌에서 돈을 빼가기도 한다.

스미싱은 사기 수법이 일반 시민들에게 알려지기 시작하자 계속해서 진화하고 있다.

27일 안랩에 따르면 해외 사이트에서 명의 도용이 발견됐다며 사용자의 이름과 주민등록번호, 그리고 명의 도용 여부를 확인할 수 있다는 URL주소가 적혀 있는 스미싱이 발견됐다. 개인 정보가 들어가 있는 메시지를 받은 사용자가 의심 없이 URL을 클릭하기 쉽도록 꾸며 놓은 것이다.

국민건강보험을 사칭한 ‘무료암검진 대상’ 문자도 발견됐다. 이 수법은 사용자의 개인정보는 물론이고 허위 무료 암검진 내용을 조합했다. 결혼한다며 URL클릭을 유도하는 ‘모바일 청접장’ 수법에서 발전한 ‘자녀 결혼식’ 스미싱도 있다. 이 밖에도 유명 외식업체를 사칭한 스미싱, 통신사를 사칭한 스미싱도 있다. 심지어는 경찰을 사칭하는 ‘간 큰’ 스미싱도 있었다.

안랩과 정부 부처는 백신을 설치해 꾸준히 스마트폰 보안 수준을 높여야 한다고 하지만, 최근에는 백신을 회피하는 악성코드까지 발견됐다. 스미싱에 속아 URL을 클릭하게 되면 사용자의 휴대폰에 설치되는 이 악성코드는 삭제가 불가능하고, 유용한 프로그램인 것처럼 스스로를 위장해 백신의 감시 범위를 벗어나는 것으로 알려졌다. 그리고 휴대폰 운영체제 안에 숨은 채 사용자의 개인정보, 개인 통신 및 비즈니스 상호작용, 은행 계정 정보, 온라인 뱅킹 거래 인증에 사용되는 1회용 암호키 등을 지속적으로 범죄자에게 전송하게 된다.

스미싱이 기승을 부리며 관련 예방 수칙들도 지속적으로 업데이트 되고 있다. 단순히 백신을 설치하고 소액결제 서비스를 해지하라는 것에서 스미싱 탐지 전용 앱 설치, “알 수 엇는 출처(소스)”의 허용 금지 설정, 모바일 백신의 주기적인 업데이트 등이다.

만약 스미싱 피해를 입었을 경우 경찰서에서 ‘사건사실확인원’을 받아 통신사에 제출하면 피해 금액을 보상 받을 수 있게 되어 있다.

지능적이고 악독하게 진화하고 있는 스미싱은 일견 바이러스와도 비슷해 보인다. 속이려는 스미싱과 잡으려는 백신 사이의 술래잡기에서 병드는 것은 소비자들이다. 스미싱을 뿌리 뽑으려는 관계 부처의 강력한 조치가 더해져야 할 때다.