태영호·제프 베이조스도 당했다?...‘긴급재난지원금 안내’까지 사칭하는 스미싱 문자, 이미 클릭했다면?

코로나19 사태까지 악용

비밀번호 다양화·2단계 인증 필수

클릭했다면 악성 앱 즉시 삭제해야

#지난 2월 보안업체 이스트시큐리티는 미래통합당 태영호 국회의원 당선인의 스마트폰에 저장된 연락처와 문자메시지, 사진 등 개인정보가 북한 연계 의심 해커조직 ‘금성121’의 서버에서 발견됐다고 밝혔다. 금성121은 악성코드를 태 당선인의 스마트폰에 심어 개인정보를 훔친 것으로 전해졌다.

#지난해 제프 베이조스 아마존 최고경영자(CEO)가 애인에게 보낸 문자 메시지가 유출됐다. 지난 1월 가디언과 파이낸셜타임스 등 영국 언론은 2018년 5월 무함마드 빈 살만 사우디아라비아 왕세자가 보낸 모바일 채팅앱 ‘왓츠앱’ 메시지에 악성코드가 첨부돼 있었다고 보도했다.

태 당선인과 베이조스는 스미싱(문자메시지(SMS)와+피싱(Phishing)의 합성어) 수법에 당한 것으로 추정된다. 스미싱 문자메시지에 포함된 인터넷 주소(URL)를 클릭하면 사이버 공격이 본격적으로 시작된다. 악성 애플리케이션이 설치되어 스마트폰 속 개인정보를 훔친다. 또는 제조사·금융기관 사칭 홈페이지에서 로그인을 유도해 아이디와 비밀번호를 탈취한다. 최근 신종 코로나바이러스 감염증(코로나19)과 ‘n번방 사건’까지 악용한 스미싱 문자까지 등장하면서 주의가 요구되고 있다.

방송통신위원회, 금융감독원, 경찰청은 지난 29일 ‘정부긴급재난지원대출 안내’를 사칭하고 제도권 은행 상호 및 공공기관으로 속인 스미싱 문자가 증가했다고 밝혔다. 기금지원으로 현혹하는 스미싱도 등장했다. 지난 21일 서울시는 재난긴급생활비(서울시), 재난기본소득(경기도) 등 기금관련 스미싱 의심 문자가 4월 1일부터 13일까지 한국인터넷진흥원에 130여 건 신고됐다고 밝혔다. 행정안전부는 3일 긴급재난지원금과 관련해 인터넷주소 클릭을 유도하는 문자에 대해 주의를 당부했다.

n번방 사건을 악용한 스미싱 공격도 등장했다. 지난 3월 이스트시큐리티 시큐리티대응센터(ESRC)는 n번방 전체 회원 신상을 공개한다는 내용과 함께 URL을 첨부한 스미싱 문자가 전송됐다고 밝혔다.

출처가 불분명한 메시지에 있는 의심스러운 인터넷 주소(URL), 전화번호를 누르지 않는 것이 최선의 방법이다. 지인에게 받은 메시지라도 클릭 전에 재확인하는 것이 좋다. 긴급재난지원금 지급 안내 문자메시지에는 인터넷주소가 포함되어 있지 않다. 서울시 지역사랑상품권을 결제할 때도 확인문자가 발송되지 않으며, 상품권을 ‘제로페이’ 앱 등에 등록하도록 개인식별번호(PIN) 안내를 위해서만 문자메시지를 단 한 번 보낸다. 금감원 관계자는 “공공기관은 전화나 문자메시지로 금융상품 대출광고를 하지 않는다”며 “시중은행 대출 담당자로 소개하며 모바일 앱 설치·개인정보 입력을 요구하면 100% 불법대출 사기”라고 설명했다.

스마트폰 자체 보안 수준을 높이는 것도 중요하다. 스마트폰 운영체제와 앱을 최신상태로 업데이트해야 한다. 스마트폰 백신 프로그램으로 실시간 감시를 하고 앱을 지속해서 업데이트하는 것도 필수다. 앱은 공식 앱스토어에서만 다운 받아야 한다. 확인되지 않은 앱이 설치되지 않도록 스마트폰의 보안설정을 강화해야 한다. 스마트폰 내에 주민등록증·보안카드 사진이나 비밀번호 등을 저장하는 것을 지양해야 한다.

사이트마다 다른 비밀번호를 설정하고, 주기적으로 비밀번호를 변경하는 것도 중요하다. 해커는 한 사이트를 뚫어 훔친 아이디와 비밀번호를 이용하여 다른 사이트도 접근하기 때문이다.

2단계 인증도 필수다. 아이디와 비밀번호를 입력한 후, SMS 인증, 스마트폰 앱 인증 등 본인확인을 한 번 더 하는 절차다. 해커가 로그인시도를 해도 이용자의 기기로 인증 절차를 거치지 못하면 최종 로그인을 할 수 없다. 삼성전자는 지난 1월 배우 주진모의 스마트폰 해킹 사건이 발생했을 때 2단계 인증을 이용하도록 당부한 바 있다.

━ 스미싱 문자 속 URL 이미 클릭했다면?

악성 앱과 설치파일을 즉시 삭제하는 것이 필수다. 모바일 백신을 통해서 지우거나 서비스센터를 방문해서 제거해도 된다.

스마트폰에 저장되어있는 공인인증서를 폐기하고 재발급해야 한다. 금융거래에 필요한 정보가 유출될 가능성도 있다.

지인에게 스미싱 피해 사실을 알려서 2차 피해를 막아야 한다. 해커가 주소록에 있는 사람들에게 유사한 스미싱을 발송할 수 있기 때문이다.

한국인터넷진흥원 불법스팸대응센터에 신고한다. 국번없이 ☎118에 전화하면 악성 앱 제거 방법 등을 24시간 무료로 상담받을 수 있다.

모바일 결제 내역도 이동통신사 고객센터를 통해 확인한 뒤 대처한다. 결제 피해가 확인되면 통신사 고객센터에 스미싱 피해를 신고하고 소액결제확인서 발급받는다. 경찰서 사이버수사대 또는 민원실에 소액결제확인서를 제출하고 사고 내역을 신고한다. 경찰에게 사건사고 사실 확인서 발급받아 통신사, 결제대행 업체, 게임사 등에 제출하고 피해구제를 받는다.

송금·이체를 했다면 은행 고객센터 또는 ☎112·182(경찰) ☎1332(금융감독원)에 송금·이체한 계좌에 대해 지급정지를 요청한다.
/김성태기자 kim@sedaily.com

[ⓒ 서울경제, 무단 전재 및 재배포 금지]