-“피해자가 피해자를 양상” 감쪽같이 당할 수밖에 없어

-KISA, 다음달 ‘악성문자 엑스레이’ 시스템 시범 도입

-스마트폰 최신 업데이트, 카카오톡 ‘보호나라’ 친구추가 필수

[디지털데일리 최민지기자] “이 앱 깔아봐. 너는 할인쿠폰 받고, 나는 포인트 쌓을 수 있어.”

피싱 공격이 진화했다. 이제는 피해자가 본인이 피싱 피해자인지도 인지하지 못한 채, 가족과 주변 지인을 피해자로 만드는 방식까지 나타나고 있다.

31일 김은성 한국인터넷진흥원(KISA) 스미싱대응팀장은 “최근 공격자들이 마일리지 지급을 빙자해 악성앱 설치를 유도하고 있다”며 “피해자가 피해자를 양상시키고 있다”고 경고했다.

◆지인이 보내준 QR코드, 고객센터에서 요청한 앱 설치…모두 ‘피싱’

이용자가 무료쿠폰 등을 받으려고 앱을 다운로드하면, 앱 내 큐알(QR)코드가 생성된다. 문제는 이 앱이 악성앱이었다는 점이다. 친구를 초대할 경우 마일리지(포인트)를 지급받을 수 있어, 이를 주변인에게 전달해 가입을 유도한다는 설명이다.

이처럼 QR코드를 악용한 ‘큐싱(QR코드와 피싱 합성어)’ 사기에 대응하기 위해 KISA는 지난 1월31일부터 ‘큐싱 확인서비스’를 운영하고 있다. 카카오톡에서 ‘보호나라’ 채널을 추가하면, 스미싱·큐싱 여부를 확인할 수 있다. QR코드를 카메라로 스캔하기만 하면, 정상·주의·악성 여부를 판별해 준다.

김은성 팀장은 “문자메시지는 의심이라도 할 수 있지만, QR코드 경우 일반인들이 구분하기 어렵다”며 “이에 큐싱 확인서비스를 개발했다”고 말했다.

스미싱(문자메시지와 피싱 합성어) 공격 전략도 고도화되고 있다. 기존에는 사칭 인터넷주소( URL)를 통해 악성 앱을 배포했다면, 현재는 전화를 하면서 자연스럽게 원격제어 앱 설치를 권유하는 식이다.

예를 들어, 카드 부정 발급건이 발견됐다고 미끼 문자를 보낸다. 메시지엔 URL이 없고 가짜 고객센터·담당자 연락처가 있다. 스미싱 의심을 줄이면서 통화를 유도한다. 명의도용 가능성이 있다며, 본인확인 절차를 이유로 개인정보를 물어보거나 원격제어나 보안점검을 해야 한다며 악성 앱 설치를 요구한다.

◆지난해 역대 최고 스미싱 건수…2025년 두 달만에 총 41만건 육박

KISA에 따르면 지난해 스미싱 탐지건수는 총 219만6469건으로 역대 최고치를 기록했다. 공공기관 사칭 125만8228건, 계정탈취 45만9707건, 지인 사칭 36만3622건 순이다. 올해 1~2월 탐지건만 해도 총 40만9587건에 이른다. 이중 계정탈취가 21만8632건으로 절반 이상을 차지한다. 공공기관 사칭은 15만8744건이다.

계정 탈취 공격 증가 추세가 뚜렷해졌다. KISA는 SNS 계정 탈취 경우 당장 금전피해가 발생하지 않는 만큼. 이용자가 이를 인식하지 못해 신고하지 않을 가능성이 크다고 봤다. 실제 계정탈취 피해규모는 더 클 수 있다는 설명이다.

김 팀장은 “텔레그램은 실제로 국외발신 메시지로 오기 때문에 쉽게 속을 수 있다. 접속 시간을 촉박하게 제한해 의도적으로 심리적 압박을 주며, 계정에 접속하도록 한다”며 “아이디와 비밀번호, 일회용비밀번호(OTP) 탈취에 목적이 있다”고 부연했다.

이에 김 팀장은 “스마트폰에 스미싱·피싱 대응 기술이 탑재돼 있으니 최신 업데이트를 해야 하며, 공식 스토어에서 앱을 직접 찾아 내려 받아야 한다. 전화로 연락해 앱 설치를 권유하면 100% 피싱”이라며 “실수로 악성앱을 깔았더라도 원격제어 상태로 제어되면 백신을 설치할 수 없다. 미리 모바일 백신 하나쯤은 설치해야 악성앱에 대응할 수 있다”고 강조했다.

◆악성문자 필터링하는 ‘엑스레이’ 시스템…“규제법안 필요”

이날 김 팀장은 다음달부터 ‘악성문자 엑스레이(X-ray)’ 시스템을 통신사·문자중계사·재판매사 등을 대상으로 시범 운영할 계획이라고 밝혔다. 현재 신청사는 5여곳이다.

악성문자 엑스레이 시스템은 ‘기업메시징’ 서비스 제공 사업자가 요청받은 대량 발송 문자 내 포함된 URL에 한해 악성여부를 분석하고 악성 판정 때 문자 발송을 차단한다.

일반적으로 사이버공격을 받으면 네트워크단에선 방화벽과 침입방지시스템(IPS)이 방어선 역할을 한다. 방화벽은 IP를 필터링해 식별하고, IPS는 네트워크 트래픽과 패킷을 감지해 악성여부를 판단한다. 이를 스미싱에도 적용하자는 것이다.

KISA가 악성문자 패턴·전화번호를 제공해 사업자 스스로 블랙리스트를 보유, 방화벽·IPS 역할을 할 수 있는 엑스레이 시스템을 도입하자는 취지다.

김 팀장은 “스미싱 방식이 진화하면서 사후대응에 한계가 있어 사전에 막는 방식을 고민했다. 대량으로 뿌리는 스팸문자가 문제인데, 엑스레이 시스템을 활용하면 유포되는 스미싱 양이 많이 줄어들 것”이라며 “연말 본격 도입하고 싶은데, 법적 강제 조항이 필요하다. 정부가 규제안을 마련해주기를 기대한다”고 전했다.