점점 진화하는 스미싱

9장

스미싱의 개념이나 방식 등에 대해서는 어느 정도 알게 되었다. 그럼 이번에는 점점 진화하는 스미싱의 특성에 대해 알아보고자 한다. 스미싱은 스마트폰의 보급률이 증가한 2012년 말부터 함께 늘어나기 시작했다. 스미싱으로 인한 피해가 증가하자 경찰은 언론과 SNS 등을 통해 지속적으로 스미싱 예방 홍보를 펼쳤고, 스미싱은 이를 비웃기라도 하듯이 수법을 더 다양하게 변화시켜 왔다. 마치 살아있는 생물이 진화하듯 스미싱도 몸집과 형태를 바꿔가며 진화해왔다. 

진화 형태로는 내용, 수법, 링크 주소, 시기 등이 있다. 먼저 내용 진화에 대해 알아보자.  

초창기 스미싱 문자 내용은  '무료쿠폰 제공', '요금명세서 발송', '모바일 상품권 도착' 등이 주를 이뤘다. 스미싱 피해가 급증하고 예방 홍보가 늘어나자 스미싱 내용도 변화하기 시작했다.  '택배도착',  '돌잔치', '청첩장' 스미싱이 뒤를 이었고 '과태료 통지서', '출석통지서' 등 점점 다양화되어갔다. 

특히 '돌잔치, 청첩장 스미싱'의 경우 함정이 숨어있다. 만약 여러분의 지인 중 A가 있고 그의 전화번호가 내 휴대폰에 저장되어 있다고 치자. A는 스미싱 문자를 받았고 무심결에 그 문자의 링크를 눌러버렸다. A의 전화번호는 다시 스미싱에 이용된다. 마침 A가 결혼할 때가 되었다는 것을 나는 알고 있다. 그런데 A로부터 '청첩장'문자가 온다면? 아마 문자를 받은 지인 반 정도는 문자를 누를 수도 있을 것이다. 그만큼 상황이 맞아떨어지기 때문이다. 스미싱의 무서운 점이 바로 이런 것이다. 

두 번째로 링크 주소 형태 진화에 대해 알아보자. 초창기 스미싱은 링크 주소 형태가 219.108.124.187와 같이 대부분 숫자로 이루어져 있거나 to.ly/kUJw 등과 같이 내용을 알 수 없는 주소로 이루어져 있었다. 그러다가 주소 링크도 진화를 거듭했다. 구글과 비슷한 http://goo.gl/6ifkyd  주소가 들어가기 시작했다. 그리고 점점 진화되어 확장 URL인 (00.co.kr, 00.net, 00.com) 같은 주소를 포함시켜 갔다. 또한 경찰서 스미싱 같은 경우는 링크에  police를 포함시키기도 하고 우체국은 post를 포함시키기도 했다.  

세 번째로 시기별 진화에 대해 알아보자. 처음에는 무작위로 보내지던 스미싱이 특정 시기별로 빈도가 달라지기 시작했다. 먼저 계절별 스미싱을 살펴보면 봄(청첩장), 여름(택배 반송, 여름휴가 패키지, 여행 할인쿠폰), 가을(교통과태료), 겨울(연하장, 연말정산, 콘서트 티켓) 스미싱이 날아온다.   

그럼 명절에는 어떤 스미싱이 많이 올까? 그렇다. 명절에는 택배, 명절 선물, 명절 상품권 스미싱이 많이 온다.  

그리고 연평도 포격 동영상, 세월호 침몰사건 구조 영상, 북한 000 처형 영상 등 특정 이슈 때마다 동영상 보기 스미싱이 많이 들어온다. 사람들의 호기심을 이용한 전형적인 사기수법인 셈이다. 

최근에는 긴급재난지원금, 코로나 확진자 이동 동선, 코로나 자영업자 긴급대출 등 코로나 관련 스미싱이 유행하고 있다. 이처럼 스미싱은 특정 시기와 이슈에 맞춰 진화해 나간다. 아마 다음 유행은 코로나 백신, 치료제 관련 스미싱이 아닐까? 

마지막으로 수법 진화에 대해 알아보자. 스미싱 수법은 알다시피 링크를 누름으로 인해 개인정보 탈취 및 소액결제 피해를 당하게 하는 것이다. 하지만 그 수법도 진화해서 문자를 받은 사람 스스로 그들에게 전화까지 걸도록 만들어졌다. 만약 여러분에게 '00 사이트 290000원이 결제 완료되었습니다 문의전화 15**-28**' 이런 문자가 왔다면 어떻게 하겠는가? 그런데 그 사이트에서 결재를 한 사실이 전혀 없다면? 아마 놀라서 찍혀있는 전화번호로 전화를 걸 것이다. 전화를 하면 그들은 두 가지 방법으로 응대한다. 첫 번째는 죄송하다고 하면서 "결제 오류가 발생되었으니 해결하기 위해서는 저희가 문자를 보내드릴 건데 그 문자에 적힌 번호를 불러주시면 바로 취소해 드리겠습니다."라고 한다. 만약 그 번호를 불러주게 되면 오히려 결제가 되는 방식이다. 두 번째는 해킹을 당해 결제가 된 것 같다면서 경찰에 신고를 대신해 주겠다고 한다. 잠시 후 수사관이라는 사람이 전화를 걸어오고 휴대폰 원격검사를 위해 앱을 보내줄 테니 깔라고 말한다. 앱을 깔게 되면 모든 정보가 탈취된다. 필자는 112 상황실에 근무하는데 실제로 "냉장고를 구매하지도 않았는데 결재가 되었다고 한다.", "해외 직구 사이트에 결재가 되었다고 한다"는 신고를 몇 번이나 받았다. 

이처럼 스미싱은 점점 진화되어 가고 있고 우리의 허점을 파고들려 한다. 우리가 명심해야 할 것은 링크가 딸린 문자는 클릭해서는 안되며 최소한 확인 절차를 거친 후 눌러야 한다는 것이다. 눈뜨고도 코 베인다는 말처럼 알고도 당하는 것이 사기라는 점 잊지말자.