사칭 피싱 문자 기승…"PASS 인증 위장, 개인정보 탈취 주의"

경찰청 사칭사이트(왼쪽)와 PASS 사칭 사이트(오른쪽). 싹다잡아 제공

경찰청을 사칭한 피싱 문자 메시지가 최근 확산되고 있다. 법칙금 등의 고지서를 위장한 문자 링크를 클릭할 경우 ‘PASS’ 인증을 가장한 화면으로 연결되며, 사용자가 이름·주민등록번호·휴대폰번호 등을 입력하면 개인정보를 탈취하는 수법이 기승을 부리고 있다.

사용자에게 전송되는 피싱 문자는 교통 법규위반이나 미납 법칙금을 사칭하며, '고지서 확인' 등의 버튼을 누르면 특정 URL로 연결된다. 연결된 사이트는 인증을 유도하는 화면이 표시되지만, 이는 실제 PASS 앱과는 무관한 가짜 페이지다. 입력란에는 이름, 생년월일, 휴대전화 번호를 입력하게 돼 있어, 피해자는 자신도 모르게 개인정보를 범죄자에게 넘기게 된다.

피싱 탐지 솔루션 ‘싹다잡아’를 운영하는 ㈜필상은 “공식 정부기관은 절대 문자 메시지를 통해 개인정보 입력을 유도하지 않으며, 입력 시 즉시 유출 피해가 발생할 수 있다”고 경고했다. 실제 경찰청은 고지서나 출석 통지를 문자 링크로 발송하지 않는다. 정식 통지는 경찰청 교통민원24 공식 홈페이지를 통해서만 확인할 수 있다. 도메인이 ‘.go.kr’이 아닌 경우, 설령 화면이 유사하더라도 피싱을 의심해야 한다.

싹다잡아는 피해 예방을 위해 △피싱사이트 탐지 앱 활용 △공식 URL 확인 △문자 내 링크 클릭 금지 등을 권고하고 있다. 최근 피싱 사이트는 실제와 거의 흡사한 인터페이스를 갖추고 있어 육안만으로 진위를 판단하기 어려우므로 URL을 확인하는 습관이 필수적이다. 특히 개인정보가 이미 탈취되기 전에 사전에 피싱 탐지를 하는 것이 중요하다고 말했다.

피해가 의심될 경우에는 입력한 정보를 기반으로 즉시 비밀번호를 변경하고, 통신사와 관련 계정의 접속 기록을 확인해야 한다. 또한, 경찰 사이버수사대나 싹다잡아에 즉시 신고해 유사 사례 확산을 막는 것이 중요하다. 사칭 피싱 범죄는 단순한 스팸을 넘어 실질적인 금전적 피해와 신분 도용으로 이어질 수 있는 중대한 사이버 범죄다. 사용자 스스로의 경계심과 함께 정부 및 보안 기업의 실시간 탐지 시스템이 더욱 중요해지고 있다.

조효민 기자 jo.hyomin@joongang.co.kr