신종 스마트폰 문자메시지 피싱 ‘스미싱’ 기승

한 달 전 A씨는 “파리바게뜨 애플리케이션 다운받고 무료 케이크 받아 가세요 goo.gl/A2xbdO”라는 스마트폰 문자메시지를 받았다. 무심코 문자 속 주소를 클릭했지만 스마트폰에는 ‘웹페이지를 표시할 수 없다’는 문구만 떴다.

대수롭지 않은 일로 여겼지만 A씨는 한 달 후 날아온 휴대전화 요금 명세서를 보고 기절초풍을 했다. 소액결제 이용료가 20만원이나 청구됐기 때문이다. 통신사에 항의해 봤지만 “소액결제를 한 것으로만 나와 있을 뿐 내역은 우리도 알 수 없다”고 했다. 경찰에 수사의뢰를 한 결과 문제의 20만원 청구는 괴문자 속 인터넷 주소를 클릭했기 때문으로 밝혀졌다.

스마트폰 이용자 3500만명 시대를 앞둔 가운데 스마트폰을 활용한 신종 범죄가 늘어나고 있다. 최근에는 유명 제과점이나 커피 전문점 이름을 도용해 ‘스마트폰 앱을 다운받으면 케이크나 커피 교환 쿠폰을 준다’는 내용의 피싱 문자메시지가 기승을 부리고 있다.

음성을 이용하는 ‘보이스피싱’과 달리 문자메시지(SMS)를 통해 이뤄진다고 해서 ‘스미싱’으로 불리는 이 수법은 홈페이지 연결 정보를 담은 문자메시지를 보내 개인정보를 빼내거나 악성코드가 깔린 사이트로 접속을 유도한다.

고객들의 항의가 빗발치자 파리바게뜨를 운영하는 SPC그룹은 지난달 24일 경찰에 수사를 의뢰했다. 스미싱의 기법은 간단하다. 스마트폰 이용자가 문자메시지로 온 인터넷 주소를 클릭하면 스마트폰에 악성코드나 가짜 앱이 설치된다. 겉으로는 ‘접속불가’ 메시지가 뜨기 때문에 이용자는 당시에는 의심을 하지 않는다.

이렇게 설치된 프로그램은 사용자의 개인정보를 해커에게 자동으로 전송한다. 해커들은 전송된 개인정보를 게임사이트 등에서 최대 30만원까지 소액결제를 하는 데 이용한다.

경찰 관계자는 “검증되지 않은 앱이나 주소는 아예 설치하거나 접속하지 않는 게 안전하며 미심쩍은 부분이 있다면 스마트폰 속 백신프로그램을 반드시 돌려볼 필요가 있다”고 말했다.

김정은 기자 kimje@seoul.co.kr