CloudPNG

ºC

logo
IT/바이오

“쿠팡 유출 악용 스미싱 확산”…방미통위, 차단 강화 나섰다

박선호 기자
입력

쿠팡 개인정보 유출 사고를 빌미로 한 신종 스미싱이 확산되면서 정부가 이용자 경보를 발령했다. 개인정보·결제 정보를 빼내는 악성 앱이 문자메시지를 통해 은밀하게 유포되는 형태로, 단말기 내부로 직접 침투하는 사이버 공격이라는 점에서 파장이 커지고 있다. 방송미디어통신위원회는 최근 민생회복 소비쿠폰 지급 안내를 사칭한 문자까지 등장하자 스미싱을 정보보호와 금융보안 측면에서 긴급 관리해야 할 위협 요인으로 보고 대응 수위를 높이고 있다.

 

방송미디어통신위원회는 3일 쿠팡 개인정보 유출과 민생회복 소비쿠폰 지급 등 사회적 관심사가 높은 이슈를 악용한 스미싱 피해 가능성을 공식 경고했다. 공격자는 “회원님 개인정보가 유출됐다”는 불안 심리를 자극하거나 “소비쿠폰 과다지급 환수 안내 및 과징금 부과”처럼 경제적 손실을 암시하는 문구를 사용해 링크 접속과 통화를 유도한다.

스미싱의 핵심 수법은 문자에 포함된 인터넷주소를 통해 악성 앱을 단말기에 설치하게 만드는 것이다. 이용자가 발신자를 제대로 확인하지 않은 채 URL을 클릭하면, 정부 기관이나 대형 플랫폼 기업을 사칭한 가짜 사이트로 연결된다. 이 과정에서 악성프로그램이 자동 또는 사용자 동의 절차를 가장한 방식으로 설치되고, 단말기에 저장된 주소록·문자·통화 내역은 물론 모바일 뱅킹 정보까지 광범위하게 탈취될 수 있다.

 

스미싱에 사용되는 악성코드는 통상 두 가지 방향으로 작동한다. 하나는 원격 제어 기능을 심어 피해자의 휴대전화를 공격자의 단말기처럼 조작하는 방식이고, 다른 하나는 문자 가로채기와 가짜 결제창 실행을 통해 본인 인증과 결제 승인 절차를 우회하는 방식이다. 방송미디어통신위원회는 이 같은 공격 구조가 무단 송금, 소액결제, 금융 계정 탈취 등으로 이어질 수 있다고 경고했다.

 

특히 이번에 문제 된 스미싱 문자는 “주문하신 물건이 배송되었습니다” 같은 일반적인 배송 안내를 위장한 내용도 포함하고 있다. 이용자는 쿠팡 유출 사고 이후 실제 배송 알림 여부를 구분하기 어렵기 때문에, 정상 알림과 악성 메시지가 뒤섞이면서 보안 리스크가 커진 상태다. 방송미디어통신위원회는 출처가 불분명한 발신자, 맞춤법이 어색한 문구, URL 포함 여부 등을 주의 깊게 살펴보고, 조금이라도 의심스러우면 링크를 누르거나 전화를 걸지 말 것을 당부했다.

 

정부는 기술적 방어선 강화에도 나섰다. 방송미디어통신위원회는 한국인터넷진흥원과 함께 이동통신 3사와 삼성전자 등 단말기 제조사에 지능형 스팸 필터링 강화를 요청했다. 지능형 필터링은 문자 내용을 키워드와 패턴 단위로 분석해 악성 URL 포함 여부, 도메인 생성 이력, 발신 번호 특성 등을 AI 기반으로 판별하는 기술이다. 동일한 스미싱 유형이 반복될수록 필터링 정확도가 높아지는 구조로, 통신망과 단말기 단계에서 다중 방어막을 쌓는 효과가 있다.

 

이용자가 활용할 수 있는 안전장치도 마련돼 있다. 출처가 불분명한 번호에서 온 문자에 URL이 포함된 경우, 카카오톡 ‘보호나라’ 채널을 통해 문자를 그대로 복사해 넣으면 정상 여부를 확인할 수 있다. 보호나라는 보안 위협 정보를 수집·분석하는 공공 채널로, 이미 신고된 스팸 유형과 대조해 위험 메시지를 빠르게 식별한다.

 

직접 신고 체계도 정비돼 있다. 한국인터넷진흥원은 불법스팸 간편신고 앱과 휴대전화 간편신고 기능을 통해 스미싱 정황을 접수하고 있다. 신고 접수 후에는 문자 내용, 발신 번호, 포함된 URL, 악성 앱 설치 여부 등을 분석해 불법 여부를 판정한다. 스팸으로 확인된 번호와 도메인은 이동통신사, 삼성전자 등과 공유돼 네트워크 또는 단말기 차원에서 차단 리스트에 즉시 반영된다.

 

수집된 스팸 데이터는 금융범죄 확산을 막는 데도 활용된다. 방송미디어통신위원회와 한국인터넷진흥원은 스미싱 연계 계좌, 가짜 금융 애플리케이션, 피싱 사이트 정보 등을 경찰청과 금융위원회 등에 제공해 수사와 규제 조치에 연동하고 있다. 스미싱이 단순 문자 스팸을 넘어 피싱·메신저 피싱·대출 사기 등 다양한 금융사기로 확장되는 흐름을 차단하기 위한 조치다.

 

전문가들은 쿠팡 개인정보 유출 이슈와 같은 대형 사고가 발생할수록 연쇄적인 사회공학 공격 위험이 커진다고 분석한다. 스미싱 공격자는 실제 뉴스와 공공정책 이슈를 그대로 차용해 이용자의 경계심을 무력화하기 때문이다. 업계에서는 지능형 스팸 필터링 고도화와 함께, 사용자가 ‘의심 문자는 열지 않는다’는 기본 원칙을 체화하도록 지속적인 보안 교육이 병행돼야 한다고 보고 있다.

 

디지털 전환으로 모바일 기반 생활·금융 서비스가 일상화된 만큼, 문자 한 통을 매개로 한 스미싱은 정보보안과 금융보안 모두에 영향을 미치는 고위험 변수로 부상했다. 방송미디어통신위원회와 한국인터넷진흥원, 통신사와 단말기 제조사가 협력해 방어망을 강화하는 가운데, 산업계는 이러한 기술·제도적 조치가 실제 이용자 행동 변화와 맞물려 실질적인 피해 감소로 이어질지 주시하고 있다.

박선호 기자
share-band
밴드
URL복사
#방송미디어통신위원회#쿠팡#한국인터넷진흥원