전직 장관 계정도 털렸다…텔레그램 '업그레이딩' 스미싱 경계령

해외이용자 정보 보호 소홀한 텔레그램
2차 인증 설정하고 의심 문자 클릭 자제

휴대폰 화면에 사회관계망서비스(SNS) 텔레그램 로고가 표시돼 있다. AFP=연합뉴스

사회관계망서비스(SNS) 텔레그램을 통한 스미싱(smishing·문자 메시지를 통한 개인정보 이용 해킹) 공격 피해가 끊이지 않고 있다. '텔레그램 계정이 잠겼으니 업데이트하라'는 문구에 깜빡 속은 사용자가 메시지를 클릭하면 순식간에 계정을 빼앗기고 피싱(Phishing) 사기로 이어져 주의가 필요하다.

30일 한국인터넷진흥원(KISA)에 따르면, 27일까지 차단한 텔레그램 피싱사이트만 7개에 달한다.

텔레그램을 활용한 스미싱 공격은 교묘하다. ①'텔레그램을 업데이트 하라' '텔레그램 공식 웹사이트에 로그인하라' 등 메시지를 보낸다. ②이용자가 메시지 속 인터넷 주소를 클릭하면 텔레그램 로그인 화면으로 꾸며진 웹페이지로 이동한다. 이후 ③이용자가 로그인을 하기 위해 본인 인증을 위한 휴대폰 번호를 입력하고 전송받은 인증코드를 웹사이트에 입력하는 순간 ④텔레그램 계정을 탈취당하는 것. '텔레그램이 보안에 특화됐다'고 믿는 이용자들의 심리를 역이용해 고전적 수법으로 개인정보를 손쉽게 빼앗은 셈이다. 실제 법무부 장관을 지낸 박범계 더불어민주당 의원을 비롯해 정치인, 고위공무원 등의 해킹 피해 호소가 잇따르는 상황이다.

텔레그램이 해킹된 이후엔 피싱 피해로 이어지고 있다. 탈취한 계정으로 접속해 해당 계정에 연결된 지인들에게 동일한 메시지를 보내 지인들의 계정을 추가 탈취하거나 탈취한 텔레그램 이용자의 정보를 활용해 다른 사이트 계정도 해킹하는 방식이다. 특히 해커들이 텔레그램 연락처에 있는 친구와 지인에게 무차별적으로 접근해 송금 등을 요구하는 사례도 있어 금전적 피해도 우려된다.

---

텔레그램, 정보 보호 소홀… "이용자 주의가 최선"

최근 텔레그램 해킹 피해가 확산돼 주의가 필요하다. 게티이미지뱅크

그러나 텔레그램은 해외이용자 정보 보호에 미온적이다. 국내 기업의 경우 해킹 피해 사례가 접수되면 KISA에 악성 URL 차단 요청을 하고, 경찰 수사에 협조하는 게 관행이다. 그러나 텔레그램은 KISA의 피해 대응 요청에도 공식적 대응이 없는 것으로 전해졌다.

상황이 이렇다 보니 텔레그램 이용자가 먼저 주의하는 게 최선이다. 텔레그램에서 제공하는 2차 인증설정, 메시지 수신 시 출처가 불분명한 사이트 접속은 자제해야 한다. 만약 피싱 메시지를 수신했다면 절대로 접속하거나 사용자 정보를 입력해선 안 된다. 개인용 컴퓨터(PC)와 스마트폰 보안을 강화하는 차원에서 텔레그램과 같은 메신저에 접속할 때 2차 인증을 설정하는 것도 좋은 대안이다. KISA는 "피해가 발생할 경우 국번 없이 118로 즉시 신고해야 한다"며 "내 PC·모바일 돌보기 서비스를 이용해 필요한 조치를 지원받을 수 있다"고 설명했다.

김지현 기자 hyun1620@hankookilbo.com