인면수심 '세월 스미싱', 도대체 왜 이러나?

사회적 이슈에 대한 관심 악용

[아시아경제 김철현 기자] 진도 세월호 침몰 사고로 인해 전 국민이 슬픔에 빠져있는 상황에서 이를 노린 '스미싱'이 기승을 부려 공분을 사고 있다. 메신저 등을 통해 '실시간 속보 세월호 침몰 사망자', '구조 동영상 보기', '[GO! 현장]세월호 구조된 6살 어린이', '믿기 어려운 세월호 침몰 관련 충격 영상 공개' 등의 문구와 악성코드를 전파하는 인터넷 주소(URL)를 함께 보내는 사례가 지속적으로 발견되고 있는 것이다. 이 같은 인면수심의 스미싱이 확산되고 있는 이유는 뭘까.

스미싱은 메시지의 링크를 클릭하게 한 뒤 스마트폰에 악성코드를 심거나 소액결제가 이뤄지도록 하는 금융사기 수법이다. 스미싱 공격을 하는 이들은 대부분 금전을 노리고 있다는 것이 보안 전문가들의 설명이다. 보안 업계 관계자는 "스마트폰을 통해 인터넷뱅킹, 소액결제, 주식 등 다양한 금융 거래 및 결제가 가능하고 개인정보가 많이 저장돼 있을 뿐만 아니라 항상 네트워크에 연결돼 있기 때문에 금전을 노린 공격이 증가하고 있는 것으로 보인다"고 말했다.

실제로 보안 업체 안랩의 내부 집계에 따르면 올해 2월까지 스미싱 악성코드는 1500개 발견됐다. 이는 2012년 한 해 동안 발견된 스미싱 악성코드(29개)의 52배, 지난해 총 발견 개수 5206개의 29%에 해당하는 것으로 빠른 속도의 증가세를 보이고 있다. 이런 악성코드에 감염되면 스마트폰에 저장된 개인정보가 유출될 뿐만 아니라 탈취된 정보는 대출사기 등에 악용될 수 있다.

문제는 사람들을 현혹하기 위한 문구가 도를 넘었다는 점이다. 스미싱 등으로 발생될 수 있는 피해도 우려되지만 클릭을 유도하기 위해 대형 사고나 재난 등과 관련한 소식으로 위장하고 있다는 점이 공분을 사고 있는 것이다. 이번 세월호 관련 스미싱이 발견되기 전에도, 2010년 아이티 지진 당시 관련 영상으로 위장한 악성코드가 전파됐으며 2011년 일본 대지진과 원전 사고 때도 이를 악용한 해킹 공격이 이뤄진 사례가 있었다.

보안 업계에서는 이를 사회적 이슈에 대한 사용자들의 관심을 악용한 '사회공학적 기법'이라고 설명하고 있다. 재난뿐만 아니라 2011년에는 김정일 북한 국방위원장 사망, 빈 라덴 사망 등 사회적 관심사와 관련된 사진이나 영상이라고 속여 악성코드를 배포한 사례가 있었다. 또 2012년 런던올림픽 때도 관련 소식으로 위장한 해킹 시도가 있었다. 올해 들어서는 개인정보 유출 사고에 편승해 사용자의 불안감을 노린 스미싱 문구가 많이 발견됐다. 특히 사회공학적 기법은 최근 소셜네트워크서비스(SNS), 스마트폰 메신저 등을 통해 더욱 빠른 전파력을 갖게 됐다.

금융권 관계자는 "사회공학적 기법을 이용한 악성코드는 사람들을 속이기 위해 고안되고 제작된 만큼 사용자 스스로 감염되지 않도록 주의를 기울여야 한다"며 "금융과 관련해 이메일이나 메신저, 문자 등을 통해 요청받은 사항이 있더라도 본문에 포함된 링크를 클릭하는 것은 피하고 반드시 해당 금융회사에 확인하거나 직접 홈페이지에서 그 내용을 찾아봐야 한다"고 당부했다.

김철현 기자 kch@asiae.co.kr