CloudPNG

ºC

logo
IT/바이오

“월요일 아침 노린다”…구글, 스미싱 패턴 공개에 금융보안 비상

허준호 기자
입력

문자 메시지 기반 피싱 범죄인 스미싱이 일과 주간 패턴을 정교하게 겨냥하는 방향으로 고도화되고 있다. 구글 분석에 따르면 스미싱 공격은 월요일 오전 8시에서 10시 사이에 집중되며, 특히 업무 시작 직후의 정신적 여유가 부족한 시간을 파고드는 양상이 뚜렷하다. 구인·구직 사칭과 그룹 채팅 악용 방식이 빠르게 늘면서 사용자의 경계심을 무너뜨리는 수법도 다양해지는 중이다. 업계는 문자 기반 사기가 글로벌 조직범죄 산업으로 커지는 국면에서, 통신·단말·보안 생태계 전반의 대응 전략이 분기점을 맞고 있다고 보고 있다.

 

스미싱은 문자에 포함된 링크를 통해 악성 앱 설치나 가짜 사이트 접속을 유도해 개인 정보와 금융 정보를 탈취하는 대표적인 디지털 사기 형태다. 발신자는 택배 배송, 정부 기관, 금융사, 공공요금 납부 안내 등으로 위장한 메시지를 보내고, 수신자가 아무 의심 없이 링크를 누르도록 설계한다. 최근에는 투자 기회 제안, 각종 수수료 및 구독료 청구, 미납 청구서 고지 등 실제 생활 맥락과 비슷한 문구를 조합해 진짜 고지 문자처럼 보이도록 만드는 사례가 늘고 있다.

구글이 올해 전 세계 사용자가 제출한 SMS와 RCS 스팸 신고 데이터를 분석한 최신 보고서에 따르면, 전 세계 사용자는 매달 100억건이 넘는 악성 메시지 공격에 노출되는 것으로 나타났다. 스미싱 수법은 무작위 대량 발송을 넘어, 시간대와 요일, 메시지 내용의 맥락을 정교하게 설계하는 방향으로 발전하고 있다는 설명이다. 구글은 휴대폰이 일정 관리, 지인과의 소통, 각종 인증 등 생활 전반을 담당하는 필수 인프라로 자리 잡으면서, 그 편의성이 동시에 범죄자에게도 고수익 기회를 제공하는 구조가 됐다고 분석했다. 문자 기반 사기 조직이 국제적으로 분업화·산업화되며, 피해자에게 금전 손실뿐 아니라 장기적인 심리적 피해를 안기는 수준까지 진화하고 있다는 지적이다.

 

보고서에 따르면 스미싱은 하루 중 특정 시간대를 집중 공략하는 패턴을 보인다. 미국 태평양 표준시 기준으로 오전 5시경부터 유입이 시작되며, 다수 사용자가 근무를 시작하는 오전 8시에서 10시 사이에 공격 빈도가 최고조에 달했다. 주간 단위로는 월요일에 공격이 가장 많이 몰렸다. 월요일 아침은 업무 관련 알림과 공지, 거래 내역, 각종 인증 문자 등이 한꺼번에 쏟아지는 시간대다. 구글은 이 시점에 수신자는 일일 업무를 준비하느라 메시지 내용을 꼼꼼히 검토하기 어렵고, 업무 관련 문자를 당연하게 받아들이는 경향이 강해 기업 사칭 메시지의 신뢰도가 높아지는 효과가 있다고 설명했다.

 

공격 유형 가운데 가장 자주 활용되는 것은 구직자를 노린 취업 사기였다. 공격자는 면접 기회 제공, 채용 절차 안내, 지원서 검토 결과 통보처럼 실제 채용 과정에서 흔히 볼 수 있는 문구로 수신자를 안심시킨 뒤, 인사 서류 제출을 명목으로 주민등록번호, 계좌 정보, 각종 인증번호 등을 요구한다. 이 과정에서 이력서 검토 수수료, 교육비, 장비 구입비 명목의 송금을 요구해 금전 탈취로 이어지기도 한다. 구인·구직 플랫폼이 일상화되면서 채용 알림을 문자로 받는 환경이 일반화된 점이 악용되고 있다는 분석이다.

 

금전적 이득을 노리는 고전 유형도 여전히 광범위하게 발생하고 있다. 가짜 미납 청구서, 각종 구독료와 수수료 청구, 카드 결제 알림을 사칭한 메시지는 수신자가 불안감을 느끼도록 유도해 링크 클릭을 이끌어내는 방식이다. 암호화폐와 각종 디지털 자산 투자 기회를 제안하는 메시지도 늘고 있는데, 짧은 기간 내 고수익을 약속하며 외부 사이트 접속이나 지갑 주소 전송을 요구하는 시나리오가 반복된다. 택배 배송 안내 위장, 세무·행정기관 사칭 역시 꾸준히 보고되며, 로맨스 스캠과 기술 지원 사기 등은 신고 비중은 상대적으로 낮지만 피해 규모 측면에서는 여전히 위험 요소로 지목된다.

 

눈에 띄는 변화는 공격 채널 구조의 전환이다. 과거에는 공격자가 피해자 개개인에게 직접 문자를 보내는 일대일 채팅 방식이 중심이었다. 그러나 최근 데이터에서는 여러 사용자를 한 번에 묶는 그룹 채팅을 활용한 스미싱이 주된 공격 수단으로 떠오른 것으로 나타났다. 구글 분석 결과, 현재는 그룹 채팅이 일대일 채팅보다 약 5대 1 비율로 더 많이 사용되는 수준까지 비중이 역전됐다. 플랫폼 차원에서 스팸 필터링이 강화되자, 공격자가 동시에 다수의 잠재 피해자에게 자연스러운 대화 흐름을 연출하며 신뢰를 쌓는 구조로 전환한 셈이다.

 

공격 조직은 그룹 채팅에 공범을 먼저 투입해 환경을 세팅한다. 예를 들어 투자 정보를 공유하는 방이나 회사 프로젝트 채팅방처럼 꾸민 뒤, 공범이 처음 메시지에 호응하며 대화를 만들어낸다. 새로운 피해자가 방에 초대됐을 때, 이미 대화가 활발히 진행 중인 것처럼 보이기 때문에 방 전체가 실제 업무나 지인 네트워크로 오인되기 쉽다. 구글은 이런 방식이 단체 메시지가 개인에게 덜 의심스럽게 느껴지는 심리를 겨냥한 전략이라고 설명했다. 다수의 참여자가 자연스럽게 의견을 주고받는 것처럼 연출하면, 링크 클릭이나 앱 설치 요청도 합법적인 절차처럼 받아들여지기 쉽다는 것이다.

 

전문가들은 기술적 차단과 별개로, 사용자의 기본 보안 습관이 스미싱 피해를 줄이는 핵심 변수라고 강조한다. 무엇보다 발신 번호와 문구가 익숙해 보이더라도, 출처가 불분명한 링크는 클릭하지 않는 것이 원칙으로 제시된다. 택배사, 은행, 카드사, 정부·공공기관을 사칭한 메시지를 받았을 경우에는 문자 내 링크를 이용하지 말고, 공식 앱이나 웹사이트, 고객센터 등 정식 채널을 통해 동일 내용이 실제로 존재하는지 반드시 재확인해야 한다. 특히 앱 설치를 유도하는 모든 메시지는 악성 앱 배포 가능성을 염두에 두고 우선 의심하는 태도가 필요하다는 지적이다.

 

가족이나 지인 명의 메시지라도 평소와 다른 말투, 급한 송금 요청, 링크 클릭 요구 등이 섞여 있다면 계정 탈취를 의심해야 한다. 이 경우 문자로 대응하지 말고 바로 전화 통화 등 다른 수단으로 사실 여부를 확인하는 것이 안전하다. 스미싱으로 의심되는 문자를 수신했다면 즉시 삭제하기보다는 먼저 통신사나 보안기관이 운영하는 신고 채널을 통해 신고한 후 삭제하는 것이 추가 피해 차단과 패턴 분석에 도움이 된다. 기업과 기관 입장에서는 임직원 대상 보안 교육에서 스미싱 대응 수칙을 정기적으로 반복해 안내하고, 업무용 단말에는 모바일 보안 솔루션과 스팸 필터링을 병행 적용하는 것이 필요하다고 전문가들은 조언한다.

 

보안업체 이스트시큐리티는 구글의 방어 체계 수치를 언급하며 경각심을 촉구했다. 이스트시큐리티는 구글 안드로이드에 탑재된 AI 기반 보안 기능이 매달 100억건이 넘는 스팸과 피싱을 차단하고 있지만, 해당 수치는 어디까지나 이미 막아낸 공격 건수라고 지적했다. 실제 사용자 단말까지 도달하는 공격은 이보다 훨씬 많을 수 있고, 수십억건 가운데 단 한 건만 방어망을 통과해도 개별 피해자에게는 예금 전액 인출, 명의 도용, 장기적인 신용도 하락 등 치명적인 결과로 이어질 수 있다는 것이다.

 

이스트시큐리티는 스미싱은 일단 피해가 발생하면 계좌 정지, 비밀번호 초기화, 명의 복구 등 후속 조치에 많은 시간과 비용이 투입되고도 완전한 원상 복구가 어려운 구조라고 분석했다. 따라서 이상 징후를 인지한 뒤 대응하는 사후 대처보다는, 메시지 수신 단계에서 차단하는 사전 방어가 사실상 유일한 해법에 가깝다고 강조했다. 업계에서는 통신사, 단말 제조사, OS 플랫폼, 보안업체 간 위협 정보 공유 체계를 강화하고, AI 기반 필터링과 이용자 교육을 병행하는 것이 스미싱 산업화 흐름을 저지할 수 있는 핵심 조건이 될 것으로 보고 있다. 산업계는 문자 기반 사기가 실제 금융·통신 생태계에 어떤 구조적 변화를 촉발할지 주시하고 있다.

허준호 기자
share-band
밴드
URL복사
#구글#스미싱#이스트시큐리티