“체납세금 빨리 내라” 스미싱 문자 극성

[애플경제 이지향 기자] 공공기관을 사칭, 세금 체납액을 속히 납부하라며 압박하는 스미싱 범죄가 활개를 치고 있다. 한국인터넷진흥원 등 보안당국은 “최근 지방세징수법, 관리법징수법, 벌금징수법 등을 들먹이며, 체납액을 징수한다는 핑계로 정부·공공기관 사칭해 악성앱 설치를 유도하는 스미싱이 대량 유포·탐지되고 있다”고 주의를 당부하며 이같이 밝혔다.

자칫 개인정보 등 민감정보를 탈취당하거나, 금전피해로 연계되지 않도록 사용자들의 주의가 필요하다는 지적이다.

‘부가가치세 수정 신고 안내문’으로 위장도

해당 스미싱은 또한, ‘부가가치세 수정신고 안내문’ 등 국세청 및 관련 업무를 사칭한 피싱메일도 함께 유포하고 있다. 이에 개인은 물론, 기관·기업에서도 모니터링을 강화하고, 첨부파일 열람을 자제하는 등의 주의가 필요하다는 주문이다.

또한 ‘지방세징수법’, ‘관리법징수법’ 등 키워드를 활용해 정부·공공기관을 사칭하고 악성앱 설치를 유도하는 스미싱 문자를 대량 유포하고 있다.

이 경우 탐지된 다수의 스미싱 문자 유포지가 국외 발신지로 확인된다. 그러므로 “국외발신 표기 문자가 포함될 경우 스미싱을 의심해야 한다”는 보안당국의 경고다. 또 수신 문자메시지를 통해 연결된 웹사이트에서 개인정보를 요구하면 입력을 중단해야 한다. 이 경우 앱 설치를 진행할 때 정상 앱스토어로 연결되었는지를 반드시 확인할 필요가 있다.

특히, 악성앱을 설치하거나, 감염될 경우 2차 피해로 연계될 수 있는 행동은 삼가야 한다. 예를 들어 스마트폰 기기명이나 IMEI 등 단말 정보 유출, 그리고 스마트폰에 저장된 연락처 목록이나 문자메시지, 사진·동영상 등 개인정보를 조심해야 한다. 또한 스미싱범들은 공동인증서 수집을 통한 금융정보를 탈취하곤 한다. 또한 피해자 스마트폰을 통해 추가 악성 문자메시지를 유포하거나 스마트폰 원격 제어 수법을 쓰기도 한다.

‘부가가치세 수정신고 안내문’ 등 문구로 국세청을 사칭하기도 한다. 관련 서류를 첨부파일하는 식으로 위장, 첨부된 악성프로그램을 내려받도록 유도하는 피싱메일을 유포하고 있다. 특히 “보낸사람이 국세청 정상도메인(@nts.go.kr)으로 표기되므로 각별한 주의가 요구된다”는 것이다. 또 악성프로그램 아이콘이 한글파일로 위장하고 있어, 파일 실행 전 확장자가 정상(.hwp) 확장자가 맞는지 의심할 필요가 있다는 주문이다.

이에 대응하기 위해선 우선 스미싱 문자를 신고하고, 철저히 확인해야 한다. 이를 위해 스마트폰 내 문자 수신 화면 상단에 표시된 ‘스팸으로 신고’ 버튼을 클릭한다. 또 보이스피싱통합신고대응센터 내 ‘스미싱 문자메세지 차단 신고하기’로 신고하면 된다. ‘인터넷 보호나라(카카오톡 채널)’ 내 ‘스미싱 확인서비스’를 이용, 수신된 문자메시지의 정상/악성여부를 확인할 수도 있다.

스미싱 피해 예방하기 위한 수칙들

스미싱 피해를 예방하기 위해선 우선 ▲수신 문자메시지에 포함된 출처가 불분명한 인터넷주소(URL)는 클릭하지 않아야 한다. 또한 ▲인터넷주소(URL) 접속시 정상주소와의 일치 여부를 확인하고, ▲휴대폰번호, 아이디, 비밀번호 등 개인정보는 신뢰된 사이트에만 입력하고 인증번호의 경우 모바일 결제로 연계될 수 있으므로 한 번 더 확인할 필요가 있다.

또한 ▲문자메시지에 포함된 인터넷주소를 클릭한 것만으로 악성앱에 감염되지 않으나, 악성앱 설치가 의심되는 경우 스마트폰을 점검할 필요가 있다. 즉, 모바일 백신으로 악성 앱을 삭제하고, 악성앱을 수동으로 삭제하며, 서비스센터를 방문해 점검을 받도록 한다.

특히 모바일 결제를 확인하고, 즉시 취소한다. 악성앱 감염 및 피싱사이트에 개인정보 입력 시 모바일 결제 피해가 발생 될 수 있으므로 모바일 결제 내역을 확인할 필요가 있다. 통신사 고객센터를 통해 모바일 결제 내역을 확인한다. 모바일 결제 피해가 확인되면 피해가 의심되는 스미싱 문자를 캠처해둔다. 또한 통신사 고객센터를 통해 스미싱 피해를 신고하고, 소액결제확인서를 발급받는다. 소액결제확인서를 지참, 관할 경찰서 사이버수사대 또는 민원실을 방문하여 사고 내역을 신고하면 된다.

또한 사고 내역을 확인받고 ‘사건사고 사실 확인서’ 발급받는다. 사건사고 사실 확인서 등 필요서류를 지참, 통신사 고객센터를 방문하거나, 팩스, 전자우편을 발송한다. 또한 통신사나 결제대행 업체에 사실이나 피해 내역을 확인한 후 피해보상을 요구한다. 이 경우 특히 공인인증서를 폐기하고, 재발급받는다. 즉, 악성 앱에 감염되었던 스마트폰으로 금융서비스를 이용했다면 공인인증서, 보안카드 등 금융거래에 필요한 정보가 유출될 가능성이 있으므로 해당 정보를 폐기하고 재발급받도록 한다.

스미싱 피해 최소화 위한 조치들

스미싱 문자를 통해 악성앱을 설치·실행했다고 판단되면 먼저 ‘비행기 모드’로 전환하거나, 스마트폰 전원을 끄고 경찰서를 방문해 악성앱 설치·감염 사실을 신고한다. 금전피해 방지를 위해 감염되지 않은 통신수단으로 이용중인 금융회사(은행, 카드사, 보험사 등)에 입출금 계좌의 출금 정지를 요청한다.

스미싱 피해가 확산되지 않게 하려면, 악성앱 감염에 의한 문자 재유포를 차단한다. 또 악성앱 감염이나 피싱사이트를 통한 정보유출이 의심되는 경우, 스미싱 문자 유포에 피해자 전화번호가 도용될 수 있으므로 ‘번호도용문자차단서비스’를 신청한다. 또한 이동통신사별 부가서비스 항목에서 무료로 신청할 수도 있다.

또한 스마트폰에 설치된 악성앱이 주소록을 조회, 다른 사람에게 유사한 내용의 스미싱을 발송하는 등 2차 피해가 발생할 수 있다. 이에 주변 지인에게 스미싱 피해 사실을 알려야 한다.

애초 발송자를 정확히 확인하고, 모르는 이메일이나 첨부파일은 열람하지 않도록 한다. 또한 이메일을 수신할 때 출처가 불분명한 사이트 주소는 클릭을 자제하도록 한다. 이메일을 통해 연결된 사이트의 경우, 일단 의심해본다. 또한 연결된 사이트 주소와 정상 사이트와의 일치여부를 반드시 확인한다. 운영체제나 자주 사용하는 문서 프로그램(아래한글 등) 등에 대해 최신 업데이트를 수행한다. 바이러스 백신 업데이트나 수시 검사는 기본이다. 사이버침해를 당할 경우 한국인터넷진흥원 인터넷침해대응센터(국번없이 118)로 연락하면 된다.