선물·택배 사칭 문자 쏟아진다···해커들 성수기된 ‘추석 연휴’

[사진=셔터스톡]

[이뉴스투데이 김진영 기자] 추석 연휴를 앞두고 택배 배송과 명절 선물을 빙자한 스미싱 범죄가 기승을 부리고 있다. 문자 메시지를 통해 악성 인터넷주소(URL)를 삽입하거나 개인정보 탈취를 유도하는 수법이 갈수록 교묘해지면서 국민 불안이 커지고 있다. 최근 5년 새 피해액이 50배로 급증한 가운데 검거율은 10%대에 머물러 제도적 대응에도 불구하고 근본적 차단에는 한계가 있다는 지적이 나온다.

형사사법정보시스템(KICS)에 따르면 2024년 스미싱 범죄는 4396건 발생해 2020년 822건보다 5배 가까이 늘었다. 같은 기간 피해액은 11억원에서 546억원으로 약 50배 급증했다. 범죄 조직의 국제화로 검거율은 11.6%에 그쳤고 나머지 88.4% 피해는 여전히 미해결 상태다. 특히 지난해 스미싱 범죄 피해액은 사상 최대 규모에 달했다.

추석은 스미싱 조직에 ‘성수기’로 통한다. 선물 배송과 택배 알림 문자가 집중되는 시기라 수신자가 무심코 열어보는 경우가 많기 때문이다. 당국은 올해도 교통법규 위반 과태료, 쓰레기 무단투기 범칙금, 명절선물 배송 조회를 사칭한 문자가 대량 유포될 것으로 경고했다. 단순 개인정보 탈취를 넘어 소셜미디어·전자상거래 계정까지 노리는 공격이 늘어 계정 입력과 앱 설치 요구에 대한 경계심도 필요하다.

금융사기 조직은 이 틈을 노려 가족이나 지인으로 속인 피싱 문자를 보내 계좌이체를 유도하는 수법을 동원한다. 카카오뱅크를 비롯한 금융권은 “연휴 기간 금융·공공기관이 문자로 비밀번호나 인증번호를 요구하는 일은 없다”며 송금 요청이 오면 반드시 기존 번호로 본인 여부를 확인해야 한다고 당부했다. 지연이체, 입금계좌 지정, 거래 알림 서비스 등 보안 기능 활용을 통해 피해를 크게 줄일 수 있다고도 강조했다.

실제 유형별 통계도 이를 뒷받침한다. 2022년부터 2024년까지 탐지된 문자사기는 총 272만여 건에 달했다. 이 가운데 과태료·범칙금 등 정부·공공기관 사칭이 162만여 건(59.4%)으로 가장 많았다. 이어 SNS 기업을 위장한 계정 탈취가 46만여 건(16.9%), 청첩장·부고장 등 지인 사칭이 42만여 건(15.5%)이었다. 국민 일상 전반을 노리는 방식으로 범죄 수법이 다변화되고 있는 셈이다.

추석을 맞아 이동이 늘어나는 점을 노린 신종 해킹 기법도 등장했다. 글로벌 보안업체 노드VPN은 최근 공항·호텔 등 공용 USB 충전기를 통해 개인정보를 빼내는 ‘초이스 재킹(Choice Jacking)’ 수법이 확인됐다고 경고했다.

기존 ‘주스 재킹’이 충전기에 악성코드를 심는 방식이었다면, 초이스 재킹은 사용자 동의 없이 자동으로 데이터 전송 모드를 켜 단 0.133초 만에 사진·문서·연락처를 탈취한다. 황성호 노드VPN 한국 지사장은 “공용 충전 포트를 절대 안전하다고 믿어선 안 된다”며 “연휴 기간 보안 인식이 곧 첫 번째 방어선”이라고 설명했다.

추석과 함께 사회 혼란에 편승한 공격도 잇따르고 있다. 지난달 26일 국가정보자원관리원 화재로 행정 시스템이 마비되자, 이를 빌미로 한 스미싱·피싱 시도가 급증했다. 과기정통부와 한국인터넷진흥원(KISA)은 즉각 주의보를 내고 “정부 안내 문자에는 URL이 포함되지 않는다”며 악성 링크 차단을 당부했다.

정부와 통신업계는 연휴 기간을 겨냥한 공격에 대응하기 위해 24시간 합동 체제를 가동 중이다. 과기정통부와 KISA는 신고된 스미싱 문자를 실시간 분석해 사기 사이트와 악성 앱 유포지를 긴급 차단하고 있다. 방통위와 이동통신 3사(SK텔레콤·KT·LG유플러스)는 가입자 전원에게 주의 안내 문자를 발송했다.

금융위와 금감원은 비대면 계좌 개설과 여신거래 차단 서비스를 강화했다. 금융당국은 여기에 더해 여신거래와 비대면 계좌 개설 과정에서 사기 시도를 원천 차단하는 ‘안심차단 서비스’를 도입해 운영 중이다. 국민 누구나 영업점이나 모바일 앱을 통해 신청할 수 있으며 추석 연휴를 전후해 금융권 홍보도 강화될 예정이다.

경찰청도 연휴 전후 접수되는 사이버사기 신고에 즉각 수사로 대응하고, 누리집 ‘인터넷 사기 의심 전화·계좌번호 조회’를 통해 피해 발생 여부 확인을 적극 활용하도록 안내하고 있다. 스미싱 의심 문자를 받았거나 악성 앱 감염이 의심될 때는 KISA가 운영하는 118 상담센터에서 24시간 무료 상담을 받을 수 있다.

미끼 문자나 피싱 전화로 원격조종이 가능한 악성 앱이 설치되면 개인정보 유출은 물론 계좌 탈취 등 직접적인 재산 피해로 이어질 수 있다. 당국은 전화나 영상통화로 본인 여부를 확인하기 전에는 앱 설치 요청을 받아들여서는 안 된다고 밝혔다.

이런 피해를 막기 위해 정부는 구체적인 생활 보안 수칙을 제시했다. 출처 불명 링크·번호 클릭 금지, 공인 오픈마켓만 통한 앱 다운로드, 스마트폰 백신 상시 가동, 본인인증 명목 개인정보 입력 차단, 신분증 사진 삭제 등 구체적 생활 보안 수칙을 지키는 것이 피해를 예방하는 최선이라고 강조했다.

관계 당국은 “출처가 불명확한 링크나 앱은 열지 말고, 공인 오픈마켓을 통한 앱 다운로드와 백신 설치, 개인정보 입력 차단 등 보안 수칙을 생활화해야 한다”고 당부했다. 그러나 피해 규모가 급증하는 데 비해 검거율은 제자리걸음을 면치 못하면서, 추석마다 되풀이되는 ‘스미싱 성수기’를 차단하기 위한 근본 대책 마련 필요성이 커지고 있다.

이달희 국회의원은 “경찰청, 과학기술정보통신부, 방송통신위원회, 한국인터넷진흥원 등 유관기관 간 정책적·기술적 협업을 통한 스미싱 범죄 대응방안 마련이 필요하다”고 말했다. 보안업계 관계자 역시 “범죄 수법이 해마다 고도화되는 만큼 기술적 차단 조치뿐 아니라 이용자 스스로 보안 습관을 생활화할 수 있도록 지속적인 교육과 캠페인이 병행돼야 한다”고 언급했다.