"와이프 몰래 사야 해, 50만원만"…내 폰으로 '미끼문자' 이렇게 퍼졌다

임종철 디자이너 /사진=임종철 디자이너

"8월22일 어머니가 심장마비로 22시에 돌아가셨습니다. 빈소 : (인터넷 주소)" "귀하께서는 음식물 분리 수거 위반으로 신고됐습니다. 내용확인 : (인터넷 주소)"

지인인 것처럼 청첩장·부고장 형태의 문자를 보내거나 범칙금 고지서 등의 형태로 이용자 휴대폰을 감염시키려는 악성코드 공격이 올해만 100만건을 넘어선 것으로 나타났다. 범죄자들은 1차로 공격당한 휴대폰에 저장된 연락처로 돈을 빌려달라는 등 문자를 보내며 2차 피해까지 입히는 것으로 나타났다.

15일 과학기술정보통신부, 경찰청, 한국인터넷진흥원(KISA) 등에 따르면 KISA가 올 1월부터 9월까지 탐지한 미끼문자 건수는 109만건으로 이 중 청첩장·부고장 등 지인 사칭형이 24만여건에 달했다. 상당 수 국민의 휴대 전화가 본인도 모르는 사이에 범죄에 재차 악용되는 좀비폰 상태로 남아있을 것으로 추정됐다.

1차 피해자는 모르는 번호로 발송된 부고장이나 교통 범칙금 고지서를 가장한 미끼문자를 받고 장례식장 위치나 자세한 고지 내용을 확인하기 위해 URL(인터넷 주소) 링크를 클릭하게 된다. 이 링크를 누르면 악성 앱이 설치되고 휴대 전화 내 연락처와 통화목록, 사진첩 등 모든 개인·금융 정보가 탈취된다. 이를 이용한 휴대 전화 소액결제와 오픈 뱅킹을 통한 계좌 이체 등 피해가 발생할 수 있다.

범인들은 악성 앱에 감염된 휴대전화(좀비폰)를 원격 조종해 1차 피해자의 번호로 연락처 목록에 있는 지인들에게 똑같은 미끼 문자를 대량으로 유포한다. 이 때 발송되는 미끼문자는 모르는 번호가 아니라 평소 알고 지내던 지인의 전화번호로 발송된다는 점에서 악성 파일을 포함한 링크를 클릭할 가능성이 더 높다.

실제 범인들은 "거래처에 급히 돈을 보낼 일이 있다" "와이프 몰래 살 게 있다"는 등 이유를 대며 "50만원만 빌려주면 이자를 보태서 내일 바로 갚겠다" 등 메시지로 2차 피해자들을 속여 돈을 갈취한 것으로 나타났다. 범인들은 평소 메신저로 대화를 나눈 적이 있는 1차 피해자를 가장해 기존 대화 내용을 토대로 범행을 저지르기 때문에 2차 피해자들이 이를 의심하기 어렵다는 점에서 문제가 크다.

이같은 피해를 예방하려면 모바일 백신 프로그램을 통해 보안 상태를 점검하고 필요시 휴대전화를 초기화할 필요가 있다. 금전 피해가 발생하지 않았더라도 본인이나 가족의 휴대전화가 악성 앱에 감염됐을 수 있기 때문이다. 출처를 알수 없는 앱이 함부로 설치되지 않도록 스마트폰 설정에서 보안위험 자동차단을 활성화하는 것도 중요하다. V3, 알약, 모바일가드 등 모바일 백신 프로그램이 최신 버전으로 유지되도록 업데이트하는 것도 중요하다.

김남철 과기정통부 정보보호네트워크정책관은 "악성 앱에 의한 피해는 자신뿐 아니라 내 가족과 주변 지인에게까지 전파되기 때문에 절대 출처가 불분명한 링크를 통해 앱을 설치해서는 안된다"고 당부했다.

황국상 기자 gshwang@mt.co.kr