지인이 보낸 "택배주소 불일치" 문자, 링크 눌렀더니 좀비폰 됐다

"'택배주소 불일치' 문자 링크 클릭, 내 폰에서 스팸문자 수백통 발송"
작년 전체 스미싱 문자 절반 이상이 '택배 사칭', 공공기관 사칭형도 증가
악성앱 감염 등 의심시 '118 상담센터'로 24시간 문의

임종철 디자이너 /사진=임종철 디자이너

"[로젠] 송장번호(5828******96) 주소 불일치로 물품 보관 중입니다."

한 금융 유관기관의 전직 임원 A씨의 휴대전화로 이달 중순 수신된 문자 메시지 문구였다. 문자 메시지 뒤에는 URL(인터넷주소) 링크가 있었다. 문자 발송인은 과거 업무상 알고 지내왔던 한 금융당국 공무원. 평소 스팸 메시지 차단을 잘 해왔던 A씨이지만 지인에게서 온 문자였던 만큼 의심하지 않은 채 링크를 눌렀다.

링크를 열었더니 본인 인증을 위해 전화번호 및 신상을 입력하라는 창이 떴다. A씨는 자신의 정보를 입력했으나 '인증이 제대로 진행되지 않았다'는 문구만 떴을 뿐 화면이 바뀌지 않았다고 했다.

문제는 그 다음부터였다. 지난 16일 A씨의 휴대전화에서 A씨가 받은 '로젠' 명의의 문자 메시지가 무작위로 발송됐던 것. A씨는 "내 폰에서 자동으로 수백통의 문자 메시지가 발송되는 것을 눈뜨고 지켜볼 수밖에 없었다"고 했다.

A씨는 자신이 가입한 이동통신사에 연락해서 이같은 일이 있었다고 신고했다. 통신사에서는 A씨의 번호로 하루간 문자 메시지가 발송되지 않도록 하는 조치를 취함과 동시에 이 회사의 부가서비스 중 하나인 '번호도용 문자차단 서비스' 등록도 했다. 그러나 문자차단의 효과는 오래 가지 않았다. 지난 20일 저녁부터 다시 A씨의 휴대전화에서 500통의 문자가 한꺼번에 전송됐다. '500건'은 이 통신사에 가입한 이용자들이 하루에 발송할 수 있는 최다치다.

작년 전체 스미싱 절반이상이 '택배사칭'

금융 유관기관의 전직 임원 A씨는 이달 지인으로부터 '택배 주소 불일치' 문자를 받고 문자 메시지 속 URL(인터넷주소)을 클릭한 적이 있다. 이 URL에 클릭한 후 A씨는 자신의 전화에서 불특정 다수의 번호로 자신이 받은 것과 같은 메시지가 발송되는 사태를 겪은 바 있다. 사진은 A씨의 휴대전화에서 불특정 다수의 수신자들에게 '택배주소 불일치' 문자가 발송된 것을 캡쳐한 것.

A씨는 자신에게서 문자를 받은 이들에게서 "왜 인증이 제대로 안되냐" "택배 메시지가 맞느냐"는 등 문의 연락도 계속 받는 등 스팸메시지 여파에 시달리고 있다. A씨는 머니투데이와의 통화에서 "이동통신사로부터 '문자를 하루 150건 이상 발송한 날이 월 10회를 넘어갈 때 문자 발송 요금이 부과된다'는 내용의 공지를 받았다"고 했다. A씨는 통신사에 "왜 번호도용 문자차단 서비스에 가입했는데도 왜 계속 문자가 발송되느냐고 항의했지만 통신사에서는 '원래 서비스 등록에 3~5일이 걸린다'라고만 했다"며 "언제까지 내 폰에서 스팸메시지가 발송되는 걸 봐야만 하는지도 걱정이지만 나중에 문자발송 요금이 부과되는지도 우려된다"고 했다.

연말연시나 설 명절 등을 앞두고 스미싱(SMShing), 즉 문자메시지(SMS)를 이용한 피싱(Phising) 공격이 더욱 기승을 부리고 있어 이용자들의 주의가 필요하다. 과학기술정보통신부 등에 따르면 2022년 전체 스미싱 문자 중 51.8%가 택배배송을 사칭한 건이었다. 그나마 택배사칭 스미싱 문자가 전체 스미싱 건수의 86.9%에 달했던 2021년에 비해 줄었으나 여전히 과반을 넘어선 것이다.

문자메시지는 이용자들이 속기 좋게 만들어져 있다. "2023년 설명절 선물을 보냈습니다. 확인바람(URL 첨부)" "배송불가 도로명 불일치 앱 다운로드 주소지 확인(URL 첨부)" "[○○통운] 부재중 미수취 택배 보관 중입니다. 보관장소 확인해주세요(URL 첨부)" 등 명절 택배를 사칭한 문자들이 있는가 하면 "[교통민원24] 교통범칙금 벌점 미처리. 과태료 조회. (URL 첨부)" "[질병관리청] 코로나19 백신접종 통지서 발송 완료(URL 첨부)" 등 공공기관 사칭형 문자들도 있다.


과기정통부는 "교통법규 위반 고지서 등 공공기관을 사칭하는 스미싱이 늘어난 것으로 분석돼 장거리 이동이 많은 설 명절을 노린 교통법규 위반 사칭 스미싱 피해에 국민들의 각별한 주의가 요구된다"며 "최근에는 택배 배송 관련 문자 발송 이후, 카카오톡 등 메신저 대화 유도를 통해 택배기사를 사칭하는 등의 문자사기 유형도 지속 발견되고 있다"고 했다.

또 "출처가 불분명한 링크를 클릭하여 악성 앱을 설치하거나 원격제어 앱을 설치하는 경우 휴대전화의 제어권이 넘어가 전자기기에 저장된 정보를 탈취당할 수 있다"며 "무단 예금 이체 및 소액결제 등 큰 재산상 피해를 입을 수 있으므로 전화, 영상통화 등으로 상대방을 정확하게 확인하기 전에는 상대방의 요구에 응하지 말아야 한다"고 당부했다.

이어 △택배조회, 명절인사, 모바일 상품권 및 승차권 증정, 지인사칭 문자에 포함된 출처 불명확 URL 또는 전화번호를 클릭하지 않을 것 △출처 미확인 앱을 함부로 설치하지 않도록 스마트폰 보안 설정을 강화할 것 △앱 다운로드는 수신문자 링크가 아닌 공인 오픈마켓을 통해 설치할 것 △백신 프로그램을 설치해 업데이트 및 실시간 감시상태를 유지할 것 △본인인증, 재난지원금, 백신예약 조회 등 명목으로 신분증 및 개인정보, 금융정보를 요구하는 경우 절대 알려주지 않을 것 등 보안수칙 준수가 필요하다고 강조했다.

문자사기 당했다면 '118 상담센터'로

/사진제공=게티이미지

스미싱 등 사이버범죄로 피해를 입었을 때는 ECRM(사이버범죄 신고 시스템)을 이용해 신고하면 된다. 경찰청 홈페이지와 사이버범죄 신고시스템 홈페이지를 참조하면 된다. 명절 연휴 중 문자사기 의심 문자를 받았거나 악성앱 감염 등이 의심되면 국번없이 118 상담센터에 신고하면 24시간 무료로 상담을 받을 수 있다.

이외에 과기정통부와 KISA는 설 연휴기간 문자사기 유포 등에 신속 대응하기 위한 상시 감시체계를 운영 중이다. 신고·접수된 스미싱 정보를 분석해 악성앱 유포지 차단 등 조치로 국민 피해를 최소화한다는 방침이다.

방송통신위원회는 SK텔레콤, KT, LG유플러스 등 이동통신 3사와 KAIT(한국정보통신진흥협회) 등과 협력해 지난 16일부터 각 통신사 명의로 가입자에게 스미싱 문자 주의 안내 메시지를 순차적으로 발송 중이다.

금융위원회와 금융감독원도 사기문자 및 명절인사 사칭 문자, 메신저 등에 대해 각별히 유의하도록 하는 보이스피싱 예방 홍보를 집중 실시하고 있다.