"내가 뭘 잘못했지?"…당황한 틈 노리는 '요즘 스미싱'

등록 2025.11.04 06:00:00수정 2025.11.04 07:02:24

이스트시큐리티, 최신 스미싱 공격 내용 공유

'과태료' 등 내용 담아 불안감 조장…악성 링크 클릭 유도

출처 모르는 링크 클릭은 반드시 하지 말아야…개인정보 요구도 거절

[서울=뉴시스] 스미싱. (사진=뉴시스 DB). photo@newsis.com

[서울=뉴시스] 스미싱. (사진=뉴시스 DB). [email protected]

[서울=뉴시스]송혜리 기자 = 스미싱(Smishing) 공격이 한층 정교한 수법으로 진화하며 확산되는 추세다.

과거에는 '무료 쿠폰', '모바일 청첩장' 등 호기심을 자극하는 방식이 많았다면, 최근에는 '과태료 부과', '음식물 배출 위반', '택배 배송 오류'처럼 공공기관이나 주요 기업을 사칭해 사람들의 불안 심리를 자극하는 방식으로 진화하고 있다는 게 보안 업계 진단이다.

관계 당국 통계에서도 최근 3년간 탐지된 문자 결제 사기 가운데 공공기관을 사칭한 사례가 207만여건에 달해 전체의 절반 이상인 53.4%를 차지한 것으로 나타났다.

스미싱이란 문자메시지(SMS)와 피싱 (Phishing)의 합성어로, 악성 링크를 포함한 문자를 보내 사용자의 클릭을 유도하는 사기 수법이다. 링크를 클릭하면 악성 앱 또는 악성코드가 스마트폰에 설치되며, 사용자가 모르는 사이에 소액결제 등 금전 피해가 발생하거나 개인정보가 탈취돼 이후 2차 범죄에 악용될 수 있다.

"위반하셨네요"들으면 당황하는 심리 악용

3일 보안업체 이스트시큐리티에 따르면 최근 스미싱 유형 가운데 가장 두드러지는 것은 '음식물 쓰레기 배출 위반 안내'사칭이다.

이들 문자는 공공기관에서 실제로 발송하는 공지와 유사한 문장 구성을 취하고 있으며 긴급한 행정조치나 과태료 부과 등을 암시해 수신자가 무의식적으로 링크를 누르게 만든다.

실제 유포된 스미싱은 '음식물 미분리수거 신고가 접수되었습니다. 조회바람'
'귀댁에서 음식물 혼합배출 신고가 접수되었습니다. 조회바람'
'[국제발신] 음식물 투입장소 위반 부과 통지 안내. 전송완료, 고지서'
'[환경관리법 제 68조위반] 음식물 혼합투기. 내용 메세지를 보내드립니다' 등의 내용을 담고 있다.

음식물 쓰레기 관련 안내 사칭과 함께 택배 배송 정보를 사칭하는 스미싱 역시 꾸준히 발견되고 있다.

'[Web발신] [한진택배] 배송 정보 확인 바랍니다'
'[Web발신] [CJ빠른배송] 구입한 상품이 이미 발송되었습니다'
'[국외발신] 한국우편:소포배송이 중단되었습니다. 즉시 정보를 확인하세요. 통보서'
'[Web발신] [CJ빠른배송] 배송 정보를 확인하세요' 등 '배송 오류'나 '지연 통보' 형식으로 링크 클릭을 유도하는 사례가 많다.

또 다른 주요 유형은 법적 처분과 관련된 문구를 이용한 메시지다. 실제 행정처분 관련 통지서처럼 꾸며져 있는데, 일부는 '법원 소송'이나 '우편 등기'를 언급해 수신자의 불안감을 자극한다.

'행정관리청 제12조3항 위반. 행정처분 안내서 전송완료'
'[Web발신] [최종통보] KG모발***님 법원소송예정. 우체국'
'쓰레기 투입장소 미준수 부과금이 발생하였습니다'
'(통보서 발급안내) 제32조 3항 혼합투기 사실확인내용 전송하였습니다' 등의 메세지가 발견됐다.

이스트시큐리티는 "특히 이런 문자들은 '내가 뭘 잘못했지?' 하는 생각에 꼼꼼히 생각할 틈도 없이 링크를 바로 클릭하게 만든다"면서 "실제로 해커들은 바로 이런 심리를 노리고, 사용자가 방심하기 쉬운 일상 속 주제를 파고들어 공격을 집중적으로 발생시키곤 한다"고 설명했다.

"주민번호·비밀번호 불러달라" 요구 거절해야

이러한 스미싱에 피해를 입지 않기 위해서는 문자에 포함된 출처 불명의 링크(URL)는 절대 클릭하지 않는 것이 가장 중요하다. 특히 과태료·범칙금·택배 배송 조회, 모바일 상품권·승차권·공연예매권 증정 등의 내용을 담은 메세지는 반드시 경계해야 한다.

아울러 앱 설치는 반드시 공인된 오픈마켓을 통해 진행하고 스마트폰 보안 설정을 강화해야 한다. 출처를 알 수 없는 앱은 악성코드를 포함할 가능성이 높으며, 문자나 메시지 내 링크를 통해 앱을 설치하는 것은 매우 위험하다. 또 스마트폰에 백신 프로그램을 설치해 실시간 감시 기능을 유지하고 주기적으로 최신 상태로 업데이트해야 한다.

본인인증, 민생지원금 등의 명목으로 신분증 등 개인정보나 금융정보를 요구하는 경우, 절대 입력하거나 알려주지 않도록 한다. 대화 상대방이 개인·금융정보, 금전을 요구하거나 앱 설치를 요구하는 경우 반드시 전화, 영상통화 등으로 상대방을 정확하게 확인해야 한다. 아울러 신분증 사진 등이 유출되지 않도록 스마트폰 내에 저장된 주민등록증, 운전면허증, 여권 사진을 바로 삭제하는 것도 중요하다.

◎공감언론 뉴시스 [email protected]