“스미싱, 공공기관 사칭까지 확대”…심리 흔드는 신종 수법 급증

스미싱(Smishing) 공격이 최근 더욱 정교하고 교묘한 방식으로 진화하며 정보보안 위협의 패러다임을 바꾸고 있다. 보안업계에 따르면, 과거 ‘무료 쿠폰’, ‘모바일 청첩장’ 등 호기심을 자극하는 단순한 방식이 주를 이뤘으나, 올해 들어서는 ‘과태료 부과’, ‘음식물 쓰레기 배출 위반’, ‘택배 배송 오류’ 등과 같이 공공기관이나 대형 택배기업을 사칭해 일상을 침투하는 유형이 급증하고 있다는 분석이 힘을 얻고 있다. 실제로 관계 당국 통계에 따르면, 최근 3년간 탐지된 문자 결제 사기 가운데 공공기관을 사칭한 스미싱은 207만여건(전체의 53.4%)에 달하는 것으로 조사됐다. 시장에서는 이번 현상을 모바일 보안 경쟁의 ‘분기점’으로 주목하고 있다.

스미싱은 문자메시지와 피싱(Phishing)의 합성어다. 악성 링크를 포함한 문자를 보내 수신자의 클릭을 유도하고, 클릭 즉시 악성코드나 악성앱 설치로 이어져 사용자가 직접 인지하지 못하는 사이 금전적 피해나 개인정보 탈취 등 2차 범죄로 연결될 수 있다. 특히 최근에는 ‘음식물 미분리수거 신고’, ‘음식물 혼합배출’, ‘환경관리법 위반 고지서’ 등 실제 행정기관이 발송하는 통지와 유사한 문구로 긴급하거나 불안한 감정을 자극한다. 한진택배, CJ대한통운 등 대표 물류사의 이름을 도용한 ‘배송 오류’ 또는 ‘지연 통보’ 메시지도 끊이지 않고 있는 실정이다.

이렇게 진화된 스미싱이 통하는 이유는 ‘내가 뭘 잘못했나’ 하는 순간적인 당혹감과 불안을 노리기 때문이다. 이스트시큐리티 등 보안업계는 “수신자가 꼼꼼히 내용을 확인할 틈을 주지 않고, 무의식적으로 링크 클릭을 유도하는 심리적 전술이 두드러진다”고 진단한다. 법적 처분이나 소송 통지로 포장한 메시지도 증가세다.

기술적으로도 스미싱 공격은 스마트폰 운영체제 취약점을 노리거나, 실존 공공기관·기업의 발신번호를 정교하게 위조해 사용자의 의심을 최소화한다. 최근 악성 앱이 백신 앱을 위장해 사용자 권한을 탈취하고, 입력 정보 절취 기능을 강화하는 등 기존 방식 대비 은폐성과 피해 범위에서 큰 차이를 보이고 있다.

실제 피해 역시 금전적 손실뿐 아니라 신분증·계좌번호 등 민감 정보의 2차 불법 유통·범죄로 이어질 가능성이 있다. 이에 따라 정부와 통신사는 백신 앱 설치 권고, SMS필터링 강화, 악성 앱 차단 인프라 구축 등 기술적·행정적 조치를 병행하고 있다. 국내외에서는 미국, 일본 등 역시 신종 스미싱 공격이 사회문제화되며, 네트워크 사업자·정부기관 간 실시간 정보공유 체계와 피해 예방 교육 의무화 정책을 확대 중이다.

현재 국내에서는 스미싱 탐지·차단 기술 고도화 정책이 추진되고 있다. 식별이 어려운 스미싱 문자 차단, 출처 미확인 앱 설치 방지, 개인정보 유출 피해 예방 등이 중점이다. 정부는 2024년 4월부터 백신 앱 의무화와 사기 의심 문자 자동 탐지 시스템 고도화 대책을 마련했으며, 통신 3사는 발신번호 인증 강화, 신고 시스템 고도화 등에 초점을 맞추고 있다.

전문가들은 무엇보다 사용자의 경계심이 가장 효과적인 방어라고 조언한다. 문자 내 출처 불명의 URL 클릭 금지, 앱 설치 시 공인 오픈마켓 이용, 스마트폰 내의 신분증 등 개인 민감정보 즉시 삭제, 상대방 확인을 위한 영상·전화 인증 등의 생활 수칙 준수가 무엇보다 중요하다는 설명이다. “기술이 아무리 고도화돼도, 사회·심리적 보안의식이 뒷받침되지 않으면 일상 속 피해 차단은 어렵다”는 지적도 나온다.

산업계는 스미싱 등 모바일 보안 위협 대응 체계가 실제 사이버 환경과 사용자 행동 양식에 맞게 빠르게 진화할 수 있을지 주시하고 있다. 기술과 심리, 사회 인식이 결합된 다층적 대응이 장기적으로는 정보보안 경쟁력의 핵심이 되고 있다.