클릭 한 번에 통장 털리는 시대… `스마트폰 방화벽`으로 스미싱 막는다

공공기관·지인사칭 등 지능형범죄
작년 73만건 탐지… 1년새 67% ↑
KISA "AI로 악성URL 실시간 차단"

김은성 KISA 스미싱대응팀장이 지난 27일 열린 행사에서 발언을 하고 있다. KISA 제공

휴대전화를 손에서 놓지 않는 현대인에게 문자메시지는 일상이다. 하지만 지인이나 공공기관을 가장한 스미싱 수법이 진화하면서 문자 한 통에 금융 정보와 개인 일상이 위협받는 사례가 급증하고 있다. 금융 거래부터 신분 확인까지 휴대전화 의존도가 높아지자 범죄 역시 교묘해졌다. 문자메시지가 단순 소통 수단을 넘어 범죄의 창구로도 쓰이고 있다.

31일 한국인터넷진흥원(KISA)에 따르면 지난해 탐지된 스미싱 문자는 73만여 건으로 전년보다 67% 급증했다. 하루 평균 2000건이 넘는 악성 문자가 유통된 셈이다. 같은 해 스미싱 신고 건수도 34만건을 돌파하면서 역대 최고치를 기록했다.

김은성 KISA 스미싱대응팀장은 "최근 스미싱 공격은 경찰청, 지자체 등 공공기관을 사칭하는 방식이 급증하고 있고 지인 연락처를 악용한 문자 유포도 늘고 있다"며 "사용자가 스스로 피해 사실을 알아채기 어렵고 클릭 순간 바로 정보가 탈취된다"고 말했다.

스미싱 공격의 핵심은 문자 속에 숨겨진 악성 URL이다. 사용자가 이를 무심코 누르는 순간 악성 앱이 설치되고 스마트폰에 저장된 전화번호부와 문자, 금융 정보까지 해커 손에 넘어간다. 최근에는 정부의 재난지원금 안내나 택배 배송 알림처럼 일상적인 내용을 사칭한 스미싱 수법이 잇따르고 있다. 사용자 경계심을 무너뜨린 뒤 악성 링크를 누르게 하고 휴대전화를 원격 조작해 계좌 송금까지 시도하는 대담한 범죄로 이어지고 있다.

김 팀장은 "이제는 스미싱을 단순한 사기가 아닌 스마트폰 해킹의 관점에서 바라봐야 한다"며 "문자 발송 단계에서부터 악성 여부를 선제 차단하는 게 핵심"이라고 강조했다.

KISA는 이에 대응해 '스마트폰 방화벽'이라는 신개념 보안 기술을 개발했다. 기존 PC 보안 체계에서 사용하던 방화벽 개념을 스마트폰에 적용한 것으로 문자에 숨겨진 악성 링크를 사전에 탐지해 차단하는 기능을 한다. 사용자가 악성 링크를 클릭하기 전에 인공지능(AI)이 URL을 분석해 위험 여부를 판단하고 차단까지 수행하는 방식이다. 이미 설치된 앱이 의심스러운 행동을 시도할 경우 즉시 차단하고 사용자에게 알리는 '이상징후 경보 기능'도 탑재돼 있다.

김 팀장은 "기존 보안 시스템은 주로 사후 신고에 기반한 대응에 머물렀지만 스미싱은 클릭 직후 수 초 안에 피해가 발생한다"며 "AI 기반 시스템은 위험한 메시지를 사용자에게 도달하기 전에 걸러낼 수 있다"고 말했다.

실제로 KISA는 지난해부터 일부 이동통신사와 금융사에 해당 기술을 시범 적용했다. 테스트 결과 악성 URL 탐지 정확도가 95% 이상으로 나타났고 피해 예방 효과도 확인됐다. 올해 상반기부터는 이동통신사와 협력해 전 국민에게 기술을 확대 적용할 계획이다.

김 팀장은 "최근 출시되는 스마트폰에는 스미싱 대응 기술이 기본 탑재돼 있는 경우가 많기 때문에 반드시 운영체제를 최신 상태로 유지하고 공식 스토어에서 앱을 직접 검색해 설치해야 한다"며 "전화 통화 도중 앱 설치를 유도 받는 경우에는 무조건 악성 앱이라 의심해야 한다"고 당부했다.

KISA는 이와 함께 QR코드를 악용한 '큐싱' 대응에도 나섰다. 큐싱은 'QR코드'와 '피싱'의 합성어로 오프라인 QR코드를 통해 악성 앱을 설치하게 하거나 개인정보를 탈취하는 방식이다. 최근에는 이러한 방식이 등장하면서 스미싱 수법이 한층 교묘하게 진화하고 있다. 김 팀장은 "최근에는 오프라인 QR코드를 통해 악성 앱을 유포하는 방식도 등장해 대응이 필요하다"며 "1월부터 카카오톡 채널을 통해 QR코드 악성 여부를 확인할 수 있는 서비스를 운영 중"이라고 설명했다.

이어 "스미싱 공격은 앞으로 더 교묘하고 복잡해질 것"이라며 "스마트폰 환경에서도 PC 못지않은 방어 체계를 마련해 국민이 안심하고 문자를 사용할 수 있도록 하겠다"고 말했다.

유진아기자 gnyu4@dt.co.kr