신뢰할 수 있는 기관이나 개인을 가장하여 이메일, 전화, 문자 메시지 등을 통해 사용자를 속이고, 민감한 정보(예: 계좌번호, 비밀번호, 신용카드 정보)를 탈취하거나 금전적 피해를 유도하는 사이버 범죄인 피싱(Phishing)이 불특정 다수에게 피해를 입히고 있어 사회적인 문제로 대두되고 있다.

이러한 공격은 개인뿐만 아니라 기업과 사회 전반에 걸쳐 막대한 금전적 손실과 심리적 불안을 초래하므로, 정부와 기업은 보안 캠페인, 경고 메시지 발송, 기술적 방어 시스템 강화 등 적극적인 대응에 나서고 있다.

한국인터넷진흥원(KISA, 원장 이상중)의 피싱 대응기관 국민피해대응단(단장 이동연, 이하 ‘국피단’)이 '2024년 4분기 이슈 앤 톡'에서 그간의 주요 성과와 보이스피싱 및 스미싱(SMS + Phishing)대응 현황을 발표했다.

이 행사는 ▲이동연 단장의 국피단 소개 및 피싱 위협 동향 ▲석지희 보이스피싱대응팀장의 보이스피싱 대응 방향 ▲김은성 스미싱대응팀장의 스미싱 확인 서비스 운영 경과 및 주요 피해 사례, 큐싱 서비스 소개 순으로 진행됐다.

국민피해대응단, 진화하는 피싱 위협에 맞선다

보이스피싱, 스미싱 등 피싱 범죄로 국민들의 금전적 및 정신적 피해로 국민들의 일상이 위협받고 있는 가운데, KISA는 사회 전반의 디지털 전환 과정에서 기존 공공 및 기업 중심의 사이버 안전망을 국민의 일상까지 확대하기 위해 기관 내 분산된 대응팀을 통합한 국피단을 신설했다.

국피단은 보이스피싱과 스미싱에 대응하는 ‘보이스피싱팀’과 ‘스미싱팀’, 그리고 스피어 피싱 메일 해킹 등 해킹메일 위협에 대응하는 ‘디지털위협분석팀’으로 운영중이다.

이동연 단장은 변화하는 피싱 동향에 대해 “피싱 피해는 스미싱에서 악성 앱이 설치될 때 공격자가 앱으로 개인 정보를 모두 탈취한 다음 그 정보에 기반한 맞춤형 보이스피싱 공격을 시도하는 형태로 발생한다.”라며, “2024년에 확인된 주식 리딩방, 콘서트 예매 사이트, 텔레그램 계정 관리자, 경찰 등 공공 기관을 사칭하고 개인·금융정보를 탈취하는 악성 앱이나 피싱 사이트로 연결하는 링크가 들어간 문자(미끼문자)의 사례를 들어 현재 이뤄지는 스미싱 양상을 나타낸다.”라고 설명했다.

한편, 새롭게 추가된 기법으로, “할머니 보러 한국 가는데 XX 맞나요?”, “왜 연락 안 받으셨어요?”, 등의 일상적인 메시지에 링크를 넣지 않고 카카오톡, 라인, 텔레그램 등 SNS 계정을 적어 채팅을 유도해 공감대를 형성한 다음, 링크를 발송하는 피싱 기법도 소개했다.

이 기법은 링크를 통해 앱을 설치한 피해자의 스마트폰에 과도한 권한을 요구해 스마트폰을 장악하고, 공격자가 만들어놓은 서버에 해당 스마트폰을 연결한다. 더불어, 스마트폰에 저장된 정보를 통해 피해자에게 맞춤화된 공격도 진행된다.

이에 대해 이 단장은 국피단은 카카오톡 등 메신저 플랫폼에 피싱 방지 서비스 ‘보호나라’를 운영하고 있으며, 해당 메시지의 내용과 관련해 사용자에게 주의를 요했다.

이외에도, 전동 킥보드나 벽보에 붙은 QR코드를 이용해 악성 앱이나 사이트로 연결하는 피싱수법 ‘큐싱(QR code + Phishing)’, ATM기기로 현금을 빼내는 방식이 아닌 사용자에게 얻은 정보로 금융 계좌를 개설해 공격자에게 이체를 하거나 개설된 계좌로 대출을 하는 방식의 수법도 성행한다고 전했다.

한편 이 단장은 국피단의 대응 방식에  대해 “국피단은 해당 링크가 악성 링크인 지를 판별해주는 서비스인 ‘스미싱 확인 서비스’를 운영중에 있으며, 특히, 공공기관 및 금융기관으로 번호를 변주해 전화나 문자를 전송하는 위험한 사례를 원천적으로 차단하는 기관 대상 ‘문자 및 번호 사칭 차단 서비스’를 운영 중이다.”라고 설명했다.

국피단은 기관이나 기업을 대상으로 인증 서비스를 넣어 사칭을 방지하고, 이 서비스를 신청하지 않은 기관과 기업에 과금을 부과하는 방식으로 대응할 방침이다, 또한 SNS 플랫폼에서도 악성 사용자에 대한 정보를 알려주는 기능을 추가하거나, 웹 기반 발신 문자를 원천적으로 차단하는 등 말단에서 예방할 수 있는 방안을 마련할 계획이다.

보이스 피싱 대응하는 '전화 및 문자 사칭 차단, 대량문자 및 해외 발송 및 수신 시 문자 안내 문구 음성서비스'

이어 석지희 보이스피싱대응팀장의 보이스피싱 대응 업무, 운영 중인 정책 및 서비스에 대한 발표가 진행됐다.

국피단의 보이스피싱대응팀은 전기통신사업법 제 84조 2항에 따라 ‘거짓으로 표시된 전화번호로 인한 이용자의 피해 방지’ 정책을 운영하고 있으며, 이 정책을 기반한 메시지 전송 시 발신번호 변경 불가 기능을 제공하고 있다.

또한 운영 중인 서비스로 앞서 언급한 전화 및 문자 사칭 차단 서비스를 설명했다. 공공 및 금융기관이 번호 사칭 전화 차단 서비스에 등록하면 해당 번호를 통신사업자들이 공유하게 된다.

석 팀장은 “기관 통신사 회선 설비를 미보유한 사업자들에서 그 번호로 발신할 경우, 최상단에 있는 기관 통신사업자가 그 전화를 차단한다. 또한, 등록되지 않은 문자 사업자가 문자를 발송할 경우, 중계사에서 그 문자가 최종 수신되지 않도록 차단하고 있다.”라고 말했다.

한편, 웹기반 대량 문자 및 해외에서 발신된 문자의 경우 문자 맨 앞단에 ‘[Web발신]’, ‘[해외발신]’등의 안내 문구 서비스를 제공하고 있으며, 해외에서 발신된 전화의 경우, 전화를 받기 전 화면에 ‘국제 전화입니다.’라는 안내 문구와 음성을 제공하고 있다.

또한, 통신사들 간 연동 관계가 복잡해, 만약 피싱 문자를 받은 수신자의 신고를 추적할 경우, 수신자의 피싱 연락 과정을 일일이 단계적으로 직접 확인하느라 대응 속도가 느렸다. 그러나 2024년부터 통신사별로 특정한 번호를 부여하고 이를 저장한 ‘식별코드 DB’를 기반으로 여러 통신사를 거치지 않고 발송한 통신사를 즉시 알 수 있는 ‘문자 식별 코드 삽입 제도’를 운영 중이다.

한편, 국피단은 2025년에 ▲공공기관을 도용할 수 없도록 삼성전자와 협의해 문자 내용 밖에 인증 마크를 넣는 ‘안심 마크 플러스’ ▲번호가 도용돼 인터넷 문자 발송이 진행된 경우, 이를 사전에 알려주는 ‘인터넷 문자 발송 안내 서비스’ ▲범죄에 악용된 동일인 명의의 전화번호 5개를 모두 정지하는 ‘회선 차단 확대’ 제도 등을 운영할 예정이다.

날로 악랄해지는 스미싱 예방하는 ‘스미싱 확인 서비스’

이어 김은성 스미싱대응팀장이 국피단에서 제공하는 스미싱 확인 서비스에 대한 운영 경과와 신종 스미싱 수법 사례를 발표했다.

스미싱 수법이 일반 메시지 형태에서 카카오톡 대화 채널로 유도하는 수법으로 진화했으며, 이 수법은 대화 채널 안에서 악성 링크를 전송하는 방식이다. 이에 스미싱으로 의심되는 정황이 발견될 경우, KISA에서 제공하는 채널 내부의 ‘보호나라’라는 서비스의 대화 스캔 확인 서비스에 메시지를 복사 후 붙여넣기를 통해 이를 분석할 수 있다.

한편, 연령 및 성별에 따른 이용률은 40-50대가 37%(남성 51%, 여성 49%), 20-30대가 36%(남녀 각각 50%), 60대 이상 16%(여성 69%, 남성 31%), 10대(여성 60%, 남성 40%) 순으로 높았다.

또한 서비스의 전반적인 분석 결과, 단편의 메시지만 접수되는 사례가 많았기에 충분한 검증을 위해선 전체 대화 맥락을 살펴야 한다고 전했다.

한편, 사회공학적 기법이 적용된 주요 스미싱 사례도 소개됐다. 20대 취업준비생인 피해자가 자신이 제출했던 이력서가 합격했다는 문자를 받았다. 서류를 제출 여부에 확신이 서지 않는 피해자는 문자를 받은 연락처로 전화를 한 뒤, 채용 담당자를 사칭한 가해자로부터 지역 문제로 직접 대면이 어려울 수 있으니, 링크를 통해 면접을 화상으로 진행하자는 연락을 받았다.

이에 화상 회의 애플리케이션 줌(Zoom)을 사칭한 악성 앱을 다운받는 링크를 받아 피해자는 해당 앱을 실행하게 됐고, 여기에 나아가 가해자는 면접을 받느라 수고했다며 면접비 지급을 위한 개인 정보와 계좌번호를 피해자에게 요구했다. 이에 응한 피해자로부터 가해자는 금융정보 서류를 만들어 명의가 도용된 핸드폰을 개설하고 비대면 대출을 받았다.

김은성 팀장은 “지금 4분기는 취준생에게는 올해 공채 마지막의 기회로 이번에의 취업을 못하면 내년도 상반기 공채로 미뤄야 한다. 때문에 취준생을 비롯해 모든 사람들이 사회적 담론이나 사람의 심리를 악용한 스미싱 기법에 각별히 주의해야 한다라고 당부했다.

김 팀장은 이어 개발 중인 큐싱 확인 서비스도 발표했다. 이 서비스는 스마트폰의 카메라 애플리케이션과 연동해 QR 코드를 인식하고, 이를 스미싱 확인 서비스로 연결해 URL을 분석한 후 악성 링크 여부를 알려준다.

이 단장은 “피싱 피해는 금전적 정신적인 피해뿐만 아니라 때때로는 목숨까지 앗아가는 아주 안타까운 사고로 이어지기도 한다.”라며 “이제는 기업 중심뿐만 아니라 국민을 대상으로 하는 디지털 사고에 대해서 전력을 다해서 대응할 것”이라고 전했다.