지난해 스미싱 전년대비 4배 증가…택배 사칭 줄고 계정 탈취 증가
텔레그램 속 민감 대화 탈취해 협박·해외서 '로맨스 스캠'에 활용
문자·메신저 속 URL 클릭 절대 금지·스마트폰 업데이트도 필수

그래픽 전진우 기자 (뉴시스DB)

[서울=뉴시스]송혜리 기자 = #텔레그램 계정에 정책위반 활동이 보고됐습니다. 접속해 인증을 완료해 주세요.

이같은 텔레그램 등 메신저와 소셜네트워크서비스(SNS) 회사를 사칭한 스미싱(문자 피싱) 공격이 급증하고 있다.

정부 통계에 따르면 명절마다 기승을 부리던 택배회사 사칭 스미싱은 최근 다소 감소한 반면 경찰청·지방자치단체 등 공공기관을 사칭한 스미싱과 SNS 계정을 노린 공격은 급격히 증가하고 있는 추세다.

이러한 공격의 주된 목적은 사용자의 계정을 탈취하는 것이다. 탈취된 계정은 내부에 저장된 민감한 대화 내용을 악용해 보이스피싱에 활용되거나, 해외에서 '로맨스 스캠'에 활용되기도 한다. 또 탈취된 계정을 통해 지인에게 다시 스미싱 메시지를 발송함으로써 2차 피해를 유발하는 등 악용 범위가 점점 확대되고 있다.

'택배 주소 오류' 피싱은 줄고 '접속 오류' 텔레그램 피싱은 늘어

한국인터넷진흥원(KISA)에 따르면 국내에서 집계된 스미싱 탐지건수는 2022년 저점을 기록한 후, 2023년 점차 늘다가 지난해 폭발적으로 증가했다.

2022년 3만7122건이던 스미싱 탐지건수는 2023년 50만3300건으로 늘었고, 지난해 219만6469건을 기록해 전년 대비 약 4.4배 증가했다.

이를 유형별로 살펴보면, 금융·지인사칭·공공기관 사칭과 계정탈취 공격이 전반적으로 증가했다. 특히 계정탈취는 2023년 2315건에 불과하던 것이 지난해에만 약 200배 늘며 45만9707건을 기록했다. 반면, 잊을만하면 날아오던 '택배 발송지 오류' 등 택배사 사칭은 2023년 9만1159건에서 지난해 2만9299건으로 대폭 감소했다.

김은성 KISA 스미싱대응팀장은 "텔레그램이나 SNS 계정 탈취 유형이 현재 45만9000건에 달한다"면서 "굉장히 많은 비중을 차지하고 있음에도 불구하고, 피해 사례가 명확히 드러나지 않아 인식이 낮은 상황"이라고 말했다

이어 "이는 텔레그램 계정이 탈취되더라도, 피해자가 인지하지 못하거나, 실제 금전적 피해가 발생하지 않는 사례가 많아 신고되지 않은 경우가 대부분이기 때문"이라며 "이로 인해 사회적인 주목이나 경각심이 덜한 현실"이라고 덧붙였다.

메신저 속 은밀한 이야기 몰래 보고 보이스피싱에 활용…해외 '로맨스 스캠'에 도용

김은성 팀장은 계정탈취 공격의 1차적인 목적으로 '민감한 대화 내용 확보'를 꼽았다. 메신저나 SNS를 통해 민감한 개인정보나 대화를 수집한 뒤, 보이스피싱 등 협박 수단으로 활용하는 형태다.

김 팀장은 "텔레그램은 비밀이 보장된다는 이유로 선택했던 플랫폼"이라며 "이런 보안성과 익명성 때문에 시작된 서비스다 보니, 그 안에 주고받는 대화 내용들이 상당히 예민한 경우가 많을 수 있다"고 말했다.

이어 두번째 목적으로는 '로맨스 스캠'을 꼽았다. 로맨스 스캠은 로맨스(Romance)와 사기(Scam)의 합성어로 온라인에서 신뢰를 쌓은 후 금전적 피해를 입히는 범죄다.

로맨스 스캠은 소셜미디어나 데이팅 앱에서 가짜 프로필로 접근해 피해자와 친밀한 관계를 형성한 뒤, 신뢰를 바탕으로 의료비·여행 경비·사업 투자금 등을 명목으로 금전을 편취하는 형태다. 올 초에도 프랑스의 한 여성이 배우 브래드 피트로 가장한 사기꾼에게 83만유로(약 12억원)를 사기 당한 사연이 외신을 통해 알려져 적잖은 충격을 줬다.

김 팀장은 "국내보다는 해외를 겨냥한 용도"라며 "우리나라에서는 큰 비중을 차지하진 않지만, 해외에서는 특히 로맨스 스캠이 매우 심각한 문제로 떠오르고 있는데, 이 로맨스 스캠이 주로 텔레그램을 통해 이뤄지고 있다"고 말했다.

이어 "그래서 국내에서 탈취한 텔레그램 계정을, 해외에서 로맨스 스캠용 내부 계정으로 사용하기 위해 구매하거나 확보하려는 목적이 있는 건 아닐까, 그렇게 추정하고 있다"고 설명했다.

문자·SNS 속 URL은 클릭 자체를 하지 않아야…스마트폰 업데이트는 필수

스미싱 공격에 피해를 입지 않기 위해서는 문자메세지나 SNS, 메신저를 통해 보내오는 URL을 클릭해 앱을 설치하지 않는 것이 가장 중요하다.

김 팀장은 "SNS 메시지에도 똑같이 URL이 포함될 수 있다"면서 "따라서 URL을 통해서 앱을 설치하는 것 자체를 아예 하지 않는 게 가장 안전하다"고 설명했다. 이어 "또 전화 통화 중에 '이 앱을 설치해보세요'라고 유도하는 경우는 100% 악성"이라며 "전화 통화 중에 앱 설치를 유도하는 경우는 절대 따라하면 안된다"고 설명했다.

이와 더불어 스마트폰 운영체제(OS) 업데이트, 모바일 백신 설치 등도 반드시 필요하다. 김 팀장은 "스마트폰 자체에 이미 기능이 포함돼 있기 때문에, 별도의 앱보다도 스마트폰 OS를 최신으로 유지하는 것이 현재 유행하고 있는 스미싱이나 피싱 범죄를 예방하는 데 가장 효과적인 방법"이라고 강조했다.

☞공감언론 뉴시스 chewoo@newsis.com

Copyright © 뉴시스. 무단전재 및 재배포 금지.