 |
친구가 첫아이 돌잔치를 한단다. 친척이 청첩장을 보낸다. 안 열어볼 사람이 없을 것이다. 연말이 가까운데 ‘송년회’ 장소가 첨부돼 있다면 확인하고 싶은 게 사람 심리다. 이런 허점을 노리는 범죄가 갈수록 극성이다. 문자메시지(SMS)와 금융사기(phishing)를 결합한 ‘스미싱’ 얘기다. 보안업체와 정부가 감시하고 경고를 해도 좀체 줄어들지 않는다. 스미싱 조직의 수법과 기술도 날마다 발전하기 때문이다. 스미싱 범죄의 현장과 대책을 알아야 하는 이유다.
# 3일 오전 서울 송파구 가락동 한국인터넷진흥원(KISA) 9층의 118 신고센터. “이상한 문자가 들어왔는데 스미싱 같다”는 신고 전화가 왔다. 이날 새벽부터 ‘한게임 결제서비스 23만원 정상 결제되었습니다. 취소하기 hXXp://camn.8mg.1866.co/’ 라는 문자가 퍼졌다. 118 신고센터는 바로 코드분석팀에 알렸다. 10여 명으로 구성된 이 팀은 문제의 앱을 내려받아 분석한 뒤 스마트폰 내부의 개인정보와 메시지를 빼가도록 설계된 것을 알아내고 종합상황대응팀에 전달했다.
# 진흥원 5층 종합상황대응팀. 24시간 가동되는 이곳은 스미싱은 물론 해킹·사이버테러 등 모든 인터넷 공격에 맞서는 최전선이다. 분석팀의 연락을 받은 종합상황대응팀은 즉시 이동통신사와 인터넷 사업자에 문자전송을 막고 앱 다운로드 주소를 차단하라고 요청했다. 신고 접수부터 대응 완료까지 걸린 시간은 1시간이 채 안 됐다. 이런 방식으로 한국인터넷진흥원이 올해 차단한 악성 앱은 11월까지 2068건. 지난해 17건에 불과했던 게 1년 새 100배 넘게 늘었다. 이정민 책임연구원은 “신고 접수부터 차단까지 걸리는 시간은 악성코드에 따라 다르다. 단순한 것도 많지만 며칠씩 걸리는 복잡한 앱도 있다”고 말했다.
# SK텔레콤 스미싱 대응팀은 최근 새벽 근무가 잦아졌다. 예전에는 업무 시간이나 퇴근시간에 주로 퍼지던 스미싱 문자가 최근에는 새벽 시간에 대량 발송되는 경우가 많아져서다. 아침에 잠이 덜 깬 상태에서 문자를 본 사용자들이 무심코 악성 앱을 다운받는 것을 노리는 것이다. SK텔레콤이 자체 감시 시스템을 통해 걸러낸 뒤 KISA와 함께 차단하는 스미싱 문자는 하루 평균 60~70종. SK텔레콤 관계자는 “연말이 다가오면서 송년회 장소를 안내한다는 내용의 스미싱 문자가 부쩍 늘었다. 이제 곧 크리스마스와 연말연시 같은 키워드를 담은 문자가 유행할 것으로 예상돼 미리 대비하고 있다”고 말했다.
경찰청에 따르면 올해 1~10월에 접수된 스미싱 피해는 2만8469건, 피해액은 54억5300만원이다. 지난해 말부터 나타나기 시작한 스미싱이 1년도 안 돼 대표적인 사이버 범죄 자리에 올라섰다. 스미싱은 명절·연말연시 등 계절적인 상황이나 정치·사회 이슈와 밀접한 관련이 있는 문자로 ‘낚시’를 하는 경우가 많다. 연말연시에 더 긴장하는 이유다. KISA에 따르면 지난주에도 매일 한 건 이상의 스미싱 문자가 발견됐다. 택배, 건강검진, 대출, 도로공사 범칙금 등 연말에 속기 쉬운 문자들이 포함돼 있다.
스미싱의 목적은 결국 악성 앱의 유포다. 사용자들이 무심결에 스미싱 문자에 포함된 인터넷 주소를 터치해 앱을 다운받으면 피해를 당하는 구조다. 앱을 다운받는 과정에서 검증 단계가 있지만 범죄조직은 사용자들이 의심하지 않도록 그럴듯한 문구를 쓴다. 올해 상반기에 크게 번졌던 ‘돌잔치 초청장’, ‘결혼 청첩장’ 스미싱이 대표적이다. 청첩장 내용이나 장소 지도를 보려는 마음에 악성 앱 다운까지 이어진 경우가 많았다. 인연과 경조사를 중시하는 한국인의 정서를 파고든 결과다.
 |
“우리나라는 관계를 중시하는 연고주의 사회다. 학연·지연·혈연을 찾는 데 익숙하다. 이게 사회가 점점 바쁘고 복잡하게 돌아가면서 오프라인이 아닌 온라인에서의 연고인 ‘넷연(net緣)’으로 발전하고 있다. 쉽게 못 만나니까 넷연에 더 집착한다. 스미싱 조직이 이런 걸 악용한다. 잘 아는 연고관계, 학교 동창이라고 해 저절로 손이 가게 만드는 것이다.”
스미싱은 기술적으로도 교묘하다. 언뜻 유치해보이는 문구지만 스미싱 문자를 본 수많은 사람 중에 몇 사람만 걸려도 급속히 퍼진다. 올 상반기에 전파된 몇몇 악성 앱은 설치되자마자 피해자의 스마트폰에 있는 연락처들에 피해자 이름으로 같은 내용의 문자를 대량 발송하도록 설계됐다. 아는 사람의 이름으로 오면 걸려들 확률이 훨씬 높다. 불과 3~4시간 만에 수십만 명에게 전파되는 이유다.
피해는 인연에 홀린 개인만 보는 게 아니다. 스미싱 단골 문자로 이용되는 택배회사, 무료 쿠폰을 준다며 사칭하는 외식·커피 전문점은 스미싱 문자가 돌 때마다 엄청난 문의·항의 전화에 시달린다. 한 보안 전문가는 “스미싱 소식이 계속 이어지면서 사용자들이 스마트폰을 활용한 금융거래를 꺼리게 될 가능성도 있다. 쇼핑·금융 같은 모바일 커머스 발전에 걸림돌이 될 수 있다”고 말했다.
훔친 개인정보로 특정인 노리기도
스미싱이 늘면서 경찰에 잡히는 사례도 늘었다. 경북지방경찰청 사이버수사대는 9월 ‘청첩장’ 스미싱으로 3400여만원을 가로챈 조직을 적발했고, 5일에는 서울 혜화경찰서가 ‘카카오 동창 찾기에 초대됐다’는 문자를 유포해 1500만원을 편취한 피의자 5명을 검거했다. 하지만 이들 피의자는 대부분 현금 인출과 계좌이체 같은 ‘잡일’을 하는 하부 조직원들이다. 문자 발송시스템을 운영하는 핵심 조직원은 대부분 중국에 있어 뿌리까지 뽑는 건 어렵다. 경찰청 사이버테러대응센터 관계자는 “보이스피싱으로부터 시작한 범죄조직이 스미싱으로 수단을 바꾸고 있다. 악성코드를 만드는 사람과 이걸 뿌리는 사람, 환전·인출하는 사람이 모두 점조직화 돼 있고 주범들은 해외에 있어 잡기 어렵다”고 말했다.
스미싱 수법이나 기술 수준도 갈수록 진화되고 있다. 최근에는 미리 빼낸 개인정보와 스미싱을 결합한 이른바 ‘스피어 피싱(spear-phishing·원래 뜻은 작살낚시, 불특정 다수가 아니라 목표를 정해 접근하는 금융사기)’이 나타나기 시작했다.
 |
5일 서울 혜화경찰서에 붙잡힌 조직은 국내에서 불법 수집한 2만 명 분량의 개인 신상정보를 바탕으로 범죄를 저질렀다. 확보한 실명과 전화번호로 대출 알선을 빙자해 전화한 뒤 ‘대출에 꼭 필요하다’며 이동통신사 비밀번호와 아이디를 캐물었다. 이 정보는 중국 스미싱 조직에 넘어갔다. 중국에서는 실명을 담아 ‘○○○ 오랜만이야. 잘 지냈어? 카카오 동창 찾기에 초대되셨습니다. googl/Ofpgl’이라는 문자를 퍼뜨렸다. 무작위 발송보다 경계심이 약해져 앱을 다운받을 가능성을 높이기 위해서다. 이들이 심은 악성 코드는 가짜 인터넷 상점에서 소액결제로 물건을 사게 만들었다. 인증에 필요한 문자메시지는 미리 빼돌린 이동통신사 개인정보를 활용해 자신들이 중간에 받아 처리했다.
혜화경찰서 관계자는 “빼돌린 개인정보와 스미싱 문자를 교묘히 결합했다. 자기 이름이 나오기 때문에 얼떨결에 악성 앱을 설치한 사람이 많았고, 소액결제라 피해자들이 이를 알아채는 데도 시간이 걸렸다”고 말했다.
한번 심어진 악성 앱이 어떤 기능을 할지는 아무도 알 수 없다.
5일에는 금융감독원 간부를 사칭한 전화 대출사기 피해 사례가 발생했다. 특이한 것은 피해자가 확인차 금융당국에 걸었던 전화가 실제로는 범인들이 쓰는 070 인터넷 전화로 자동 연결됐다는 점이다. 특정 번호를 누르면 자신들에게 연결하는 악성 앱이 작동한 것이다. 안랩 인치범 실장은 “기존에 유출된 개인정보를 활용해 특정인을 상대로 범죄를 저지르는 스피어 피싱이 늘어날 것으로 보인다. 악성 앱을 위장하는 기술도 발전하고 있어 탐지가 점점 어려워진다”고 말했다.
국내에서 80% 이상, 세계 시장의 60% 이상을 차지하는 안드로이드 운영체제(OS)를 기반으로 한 악성 앱의 수는 기하급수적으로 늘고 있다. 애플의 운영체제 iOS와 달리 원하는 모든 기업이 참여할 수 있는 개방형 체제가 안드로이드의 장점이자 취약점이다. 앱을 사고팔 수 있는 장터를 제한할 수 없다 보니 각종 악성 앱의 유포가 상대적으로 쉽다.
스미싱 조직 기업화 … 근본 대책 필요
보안업체 시만텍코리아 윤광택 이사는 “시만텍 본사의 조사 결과 개인정보를 빼돌리거나 내부 시스템을 수정하는 악성 앱 샘플 발견 건수가 지난해 초 수천 건에서 올 6월엔 30만 건 이상으로 치솟았다. 이런 악성 앱이 보안을 취약하게 만들거나 빼돌린 정보가 범죄조직에 넘어갈까 우려된다”고 말했다.
 |
| 한국인터넷진흥원(KISA) 관계자가 스미싱 수법을 알리고 악성 앱을 탐지하는 ‘폰키퍼’ 앱을 시연하고 있다. 조용철 기자 |
하루 평균 300여 개의 악성 앱을 발견해 차단하는 안랩의 주진호 팀장은 “범죄조직은 악성 앱을 유포하는 인터넷 주소가 차단되면 몇 분도 안 돼 우회 통로를 만든다. 혹은 미리 수많은 통로를 만든 뒤 평소 정지 상태에 두다가 차례로 활성화시키기도 한다. 모두 보안업체의 자동 탐지를 막으려는 수법”이라고 말했다.
보안업체 못지않게 스미싱 범죄조직의 기술 발전도 빠른 것이다. 업체 관계자들은 조만간 나올 차기 안드로이드 OS(코드명 킷캣)의 특징을 역이용한 스미싱도 나올 것으로 예상한다. 킷캣 OS는 메시지 통합 기능을 기본 장착할 예정이다. 현 단계에선 주로 문자를 통해 퍼지는 스미싱이 국내 사용자가 많은 카카오톡·라인 같은 소셜네트워크서비스(SNS)를 통해 더 빨리 퍼질 가능성이 있는 것이다.
보안업체와 이동통신사들도 대책 마련에 고심한다. 미래창조과학부와 금융위원회는 3일 스미싱을 포함한 ‘신·변종 전기통신 금융사기 피해 대책’을 내놓았다. 대책에는 ▶KISA와 보안기업·이동통신사 사이의 스미싱 공동 대응 시스템 구축 ▶대포통장 등 해킹이용 계좌에 대한 지급정지 제도 강화 및 처벌 범위 확대 ▶소액결제 보안 강화 ▶범죄조직 수사에 대한 국제공조 강화 같은 내용을 담았다.
이정민 KISA 책임연구원의 설명이다. “스미싱 범죄자들은 이미 조직화·기업화한 경우가 많다. 대책의 기본 방침은 이들이 범죄를 저지르는 데 들어가는 비용을 높이자는 것이다. 범죄자들 입장에서 돈이 안 되니까 포기하게 만들려는 것이다. 이미 시행된 대책 중에는 인터넷을 이용해 대량 발송된 문자에 ‘웹발신’이라는 글자를 자동으로 넣는 방식이 있다. 사용자가 미리 차단하거나 한 번 더 의심하게 된다. 범죄자가 이걸 피하려면 수많은 문자를 수동으로 보내야 하기 때문에 비용이 더 들게 된다. 실제로 범죄 억제 효과를 보고 있다.”
개인 차원의 대책도 필요하다. 가장 중요한 것은 모르는 프로그램이나 앱을 다운받지 않는 것이다. 국내 스마트폰에는 악성 앱이나 바이러스 차단을 위한 앱이 기본으로 설치돼 있지만 자동으로 작동되지는 않는다. 처음에 앱을 구동해 환경설정을 하고 구동하는 절차가 꼭 필요하다.
하지만 PC와 스마트폰 안에 공인인증서와 개인키처럼 범죄 조직에 돈이 되는 정보가 들어 있는 상태에서 해킹·스미싱 시도를 개인 대응 책임으로 돌리는 데는 한계가 있다는 지적도 나온다. 일부 전문가는 부가 프로그램을 다운받거나 개인정보를 기기에 두는 현재의 공인인증 방식을 재검토해야 한다고 주장한다.