휴대폰 ‘청첩장’ 파일, 함부로 ‘클릭’했다간 '큰코'

[중소기업투데이 이상영 기자] 보안 당국이 청첩장을 사칭한 스미싱 주의보를 내렸다. 봄이 되면서 결혼이 늘어나면서 이런 사이버범죄도 한층 늘어날 것이란 우려다.

인터넷진흥원과 ‘인터넷보호나라’ 사이트에 의하면 최근 온라인 청첩장을 사칭해 스미싱 악성앱을 유포하는 사례가 증가하고 있다. 이에 따라 악성앱 감염에 의한 개인정보 등 민감정보 탈취, 금전피해로 연계되지 않도록 사용자 주의가 필요하다.

특히, 악성앱에 감염된 휴대전화의 연락처를 통해 지인 명의로 재유포되므로 온라인 청첩장 수신 시 메시지에 포함된 인터넷 주소(URL)를 함부로 클릭했다가 낭패를 볼 수도 있다.

특히 ‘결혼’, ‘결혼식’, ‘청첩장’ 등의 키워드를 활용, 결혼식 정보 확인을 위한 악성앱 설치를 유도하는 스미싱 유포 사례가 증가하고 있다. 그럼에도 해커들은 스미싱 문자 발신번호를 수신자 스마트폰에 저장된 연락처나, 일반 휴대전화번호로 표기함으로써 실제 지인이 보낸 문자로 오인하도록 유도하고 있다.

더욱이 이런 악성앱은 정상앱과 동일한 아이콘을 사용함에 따라 육안으로 쉽게 판별하는게 불가하다.

보안 당국에 따르면 악성 앱은 설치, 실행할 경우 다양한 피해를 유발할 수 있으므로 사용자들의 각별한 주의가 필요하다고 당부한다.

이들 공격자들은 악성앱을 설치한 후에도 아이콘을 은닉함으로써 사용자가 자신의 휴대폰이나 PC에 그런 앱이 설치되어있는지조차 인지하지 못하게 한다. 또한 스마트폰에 저장된 연락처나, 문자 메시지, 사진 등 개인정보를 유출한다. 공동인증서를 알아내어 금융정보를 탈취하기도 하고, 원격제어를 통해 피해자 폰을 통한 문자 메시지를 발송, 삭제하기도 한다.

피해자 통해 지인들에게도 악성앱 스미싱 공격

특히 피해자 폰에 저장된 연락처를 악용, 실제 피해자의 지인들에게 무차별 스미싱을 발송하기도 한다. 이런 경우 피해자의 지인들도 별 의심없이 악성앱을 설치함으로써 피해가 일파만파 확산되곤 한다.

이에 “이런 스미싱 문자를 철저히 예방하는 노력이 있어야 한다”는 당부다. 우선 문자를 수신할 때 출처가 불분명한 사이트 주소는 클릭을 자제하고, 바로 삭제할 필요가 있다. 의심되는 사이트 주소의 경우 정상 사이트와의 일치 여부를 확인하는 것도 필수다.

또한 휴대폰번호, 아이디, 비밀번호 등 개인정보는 신뢰할 만한 사이트에만 입력하도록 한다. 특히 인증번호의 경우 자칫 자신도 모르게 모바일 결제로 연계될 수 있으므로 반복해서 확인해야 한다. 또한 “정부기관이나 금융회사인 경우, 전화나 문자 등을 통해 원격제어앱 설치를 요구하지 않음을 유의해야 한다”는 당부다.

만약 악성앱 감염이나, 피싱 사이트를 통한 정보 유출이 의심되는 경우, 스미싱 문자 재발송을 위해 피해자 번호가 도용될 수 있다. 이에 즉시 ‘번호도용문자차단서비스’를 신청, 번호 도용 가능성을 최대한 빨리 차단하도록 한다. ‘번호도용문자차단서비스’는 이동통신사별 부가서비스 항목에서 무료로 신청할 수 있다.

피해 예방과 악성앱 삭제 및 대처법

또한 스미싱 악성앱 감염이 피싱사이트에 모르고 개인 정보를 입력했을 경우 신속히 모바일 결제 여부를 확인해야 한다. 일단 통신사 고객센터를 통해 모바일 결제 내역을 확인한다. 만약 이미 모바일 결제가 되었다면, 당황하지 말고 일단 해커가 도구로 사용한 스미싱 문자를 캡처한다. 그런 다음 통신사 고객센터를 통해 스미싱 피해를 신고하고, 소액결제확인서를 발급받는다.

소액결제확인서를 지참해 관할 경찰서 사이버수사대나 민원실을 방문, 사고 내역을 신고한다. 사고 내역을 확인받고 ‘사건사고 사실 확인서’를 발급받는다. ‘사건사고 사실 확인서’ 등 필요서류를 지참해 통신사 고객센터를 방문하거나, 팩스 또는 전자우편으로 접수한다. 그런 다음 통신사나 결제대행 업체에 도난 사실과 피해 내역을 확인한 후 피해보상을 요구할 수 있다.

이런 피해를 예방하려면 악성앱이 침투한 사실을 아는 즉시 이를 삭제해야 한다. 문자메시지에 포함된 인터넷주소를 클릭한 것만으로는 악성 앱에 감염되지 않지만, 인터넷주소를 통해 앱을 설치했다면 최대한 신속하게 스마트폰을 점검, 삭제해야 한다. 이 경우 우선 모바일 백신으로 악성 앱을 삭제하거나, 수동으로 삭제할 수 있다. 또한 서비스센터를 방문하는 것도 방법이다.

이 경우 반드시 공인인증서를 폐기, 재발급받아야 한다. 악성 앱에 감염되었던 스마트폰으로 금융서비스를 이용했다면 공인인증서, 보안카드 등 금융거래에 필요한 정보가 유출될 가능성이 있으므로 해당 정보를 폐기하고 재발급을 받아야 하는 것이다.

또한 2차 피해가 발생하지 않도록, 주변 지인들에게 스미싱 사실을 알려야 한다. 만약 방치하다간, 스마트폰에 설치된 악성앱이 주소록을 조회, 다른 사람에게 유사한 내용의 스미싱을 살포할 수도 있다.

일단 스미싱 공격을 당했으면, 이를 보안당국에 신고하는 것도 중요하다. 스마트폰 내 문자 수신 화면에서 확인가능한 ‘스팸으로 신고’를 클릭하거나, ‘보이스피싱통합신고대응센터’의 ‘스미싱 문자메세지 차단 신고하기’, 또는 인터넷보호나라(카카오톡 채널)의 ‘스미싱 확인서비스’를 통해 신고하거나 악성 여부를 판별한다.

※문의 및 신고 : 한국인터넷진흥원 인터넷침해대응센터(국번없이 118)