“국민지원금 사칭 스미싱 기승”…이스트시큐리티, 악성앱 경고에 업계 긴장

정부의 민생회복 소비쿠폰 2차 지급 시기를 겨냥한 '국민지원금' 사칭 스미싱이 다시 확산되고 있다. 최근 보안업체 이스트시큐리티가 공개한 사례에 따르면, 사용자는 '국민지원금 대상자' 안내문과 함께 악성 링크가 포함된 메시지를 받게 되며, 링크 클릭 시 정부24를 모방한 피싱 사이트로 접속되는 것으로 나타났다.  

이 피싱 사이트에서 '맞춤 혜택 조회'를 누르면 별다른 경고 없이 악성 앱 설치를 유도한다. 앱 설치 후 실행 시에는 단말기 고유식별자, 전화번호, 통신사, 운영체제(OS) 버전, 연락처, SMS, 이미지 등 민감 정보를 공격자 서버로 전송하며, 대량 문자 발송을 자동화해 추가 피해로 확산시킨다. 특히, 설치된 악성앱이 문자(SMS) 수신을 가로채 인증번호 탈취에 활용될 수 있어, 금융 보안에도 직접적인 위협이 된다는 지적이다.  

기존에는 코로나19 지원금 등 정부정책에 맞춰 유사 사기 수법이 반복돼 왔는데, 이번에도 실시간 지원금 정책에 맞춘 전형적인 사회공학 기반 공격 방식이 재활용되고 있다.  

이스트시큐리티 측은 “정부나 카드사는 공식 신청안내에 문자 링크를 넣지 않는다”며, “출처 불명 문자 링크 클릭 및 웹사이트나 문자로 인한 앱 설치는 무조건 피해야 하며, 공식 스토어 이외 경로 설치는 즉시 삭제해야 한다”고 당부했다.  

한편, 국내외적으로 지원금 사칭형 스미싱 피해가 빈발하고 있으나, 주요 보안 업체와 당국은 보안 수칙 홍보, 실시간 탐지 강화 등 대응 역량을 높이고 있다. 미국, 유럽 역시 신원 인증, 모바일 금융 앱 보안강화에 박차를 가하는 추세다.  

전문가들은 “대규모 민생지원 정책 시기에는 피싱, 스미싱 시도가 집중돼, 사용자의 보안 인식과 기술적 방어가 병행돼야 한다”며, “기술 확산 속도만큼 산업·규제 협력이 더욱 중요해질 것”이라고 진단했다.  

산업계는 이번 스미싱 수법이 실제 시장과 금융 환경에 어떤 추가 변수를 낳을지 예의주시하고 있다. 기술과 서비스의 혁신만큼, 사회적 신뢰 인프라의 구축이 디지털 생태계의 핵심 과제가 되고 있다는 평가다.