생각없이 '클릭'만 해도 개인정보 넘어가
기술 문명이 발달하면서 좋아진 점도 많지만 반대로 범죄가 늘어 나빠진 측면도 있다. 특히 스마트폰을 쓰게 된 시니어들에게는 더욱 그렇다. 주류사회에서는 시니어들이 스마트폰을 쓰면서 큰 피해를 본 스미싱에 대해서 경보가 울리고 있다. 스미싱에 대해서 알아보자. 우선 '스미싱(smishing)'이라는 단어를 이해하면 절반은 설명이 된 것이다. 스마트폰의 텍스트 메시지 기술인 단문 메시지 서비스를 의미하는 SMS와 사기성 커뮤니케이션 주로 이메일을 통해 개인 또는 금융 정보를 훔치는 행위인 피싱(phishing)을 결합해 만든 단어다. 만약 스마트폰이 아니라면 텍스트 메시지로 무엇을 보내든 무용지물인데 스마트폰이 되면서부터 얘기가 달라진 것이다. 기본적으로 모바일 디바이스의 텍스트 메시지를 통한 피싱이다. 사실 PC를 통한 피싱의 경우 범죄 피해를 유도하는 링크에 마우스를 들이대면 브라우저 밑에 주소가 보인다. 일단 링크에 표시된 주소와 링크가 다르면 피싱이다. 다시 말해서 조금만 주의를 기울이면 이메일을 통한 피싱의 피해자가 되지 않을 수 있다. 하지만 스마트폰은 작은 화면에 그런 기능을 쉽게 찾을 수 없기에 표시된 주소와 달라도 알 도리가 없어서 꼼짝없이 당할 수 밖에 없다. 피싱 이메일과 마찬가지로 스미싱 텍스트를 통해서 소셜 번호 크레딧카드 번호 및 계정 암호와 같은 민감한 데이터를 넘겨주도록 하거나 기업의 컴퓨터 시스템에 대한 액세스를 제공하는 것을 목표로 하는 사기다. 이런 스미싱 텍스트는 보낸 사람이 친숙하거나 신뢰할 수 있는 출처이며 어떤 이익을 확보하고 문제를 해결하거나 위협을 피하기 위해 긴급 조치가 필요하다는 것을 알리며 피해자를 설득한다. 예를 들어 은행 셀폰 서비스 회사나 넷플릭스 페이팔과 같은 서비스 회사로부터 발송된 텍스트처럼 보인다. 수신자의 계정이 만료되었거나 일부 의심스러운 활동으로 인해 잠겼으며 개인 정보를 제공하거나 링크를 클릭해 다시 활성화해야 한다고 설명한다. 이는 사기꾼이 피해자의 돈이나 신원을 훔치거나 기기를 멀웨어로 감염시킬 수 있는 수단을 제공한다. 밸리 거주 정보람(55)씨는 거래도 하지 않는 은행에서 계정이 잠겼으니 빨리 조치를 취하라는 텍스트를 받았다. 물론 정씨는 그런 은행과 거래를 한 적이 없기에 그냥 지웠지만 만약 자신이 거래하는 은행에서 온 것이라면 아마도 링크를 클릭했을 가능성이 있다고 말했다. 그는 "주위에서 많이 사용하는 은행이라서 다른 피해자가 있을 것같다"면서 "거래하는 은행도 내 휴대폰 번호를 모르는데 처음엔 적잖이 당황했다"고 회상했다. 이런 사기 유인을 목표로 하는 텍스트는 변형도 많다. 수신자가 로토 잭팟이나 상품권에 당첨됐다고 말하거나 학자금 대출 빚을 탕감해주겠다는 텍스트도 가능하다. 소셜 시큐리티나 IRS와 같은 정부 기관의 경고처럼 보이거나 구매한 것으로 보이는 제품이나 서비스에 대한 가짜 인보이스 또는 취소 알림으로 연결되는 링크일 수 있다. 일단 텍스트를 통해서 이런 것을 알려줄 수는 있지만 바로 링크를 걸어서 주는 경우는 드물다. FCC(연방통신위원회)와 FTC(연방통상위원회)에 따르면 코로나 팬데믹으로 인해 새로운 작전이 많이 등장했다. 사기 텍스트는 가짜 치료 구호기금 정부 헬스케어 업데이트 또는 바이러스에 노출됐다는 경고를 보낸다. 가장 일상에서 받기 쉬운 것이 아마존 페덱스(FedEx) 연방우정국에서 소포나 배송 문제에 대해 보낸 것으로 보이는 메시지다. 통화 차단 및 기타 전화 보안 서비스를 제공하는 로보킬러(Robokiller)의 지난 2월 보고서에 따르면 배달 사기는 2021년 스팸 문자의 4분의 1 이상을 차지했다. 로보킬러에 따르면 스미싱은 이제 사기 도구로 로보콜을 넘어섯다. 2021년에 사기성 로보콜이 722억 통이었던 것에 비해 스미싱 텍스트는 878억 건이 발송됐다. 이런 피싱 메시지로 인해 소비자의 피해는 대략 101억 달러에 달한다고 추정했다. 전문가들이 공개한 스미싱 징후는 다음과 같다. -텍스트 메시지로 소셜번호 또는 온라인 계정 암호와 같은 개인 정보를 요구한다. -문제를 해결하거나 상품을 받거나 서비스에 액세스하려면 링크를 클릭하라는 메시지가 표시된다. -메시지는 정부 기관에서 보낸 것이라고 주장한다. FCC에 따르면 정부 기관은 전화나 문자로 누군가와 연락을 시작한 적이 없다. -텍스트는 코로나 팬데믹 관련 검사 치료 또는 재정 지원을 제공하거나 확진자와의 접촉 추적을 위한 개인 데이터를 요청한다. 전문가들이 공개한 해야할 것과 하지말야아 할 것은 다음과 같다. ▶해야할 것 실제 문제와 관련이 있다고 생각되면 합법적인 것으로 알고 있는 전화번호 또는 웹 사이트를 사용해 텍스트를 보낸 것으로 추정되는 기업 또는 조직에 문의하라. -스팸 및 스캠 문자를 모바일 업계에서 운영하는 스팸 신고 서비스인 7726(SPAM)으로 전달한다. 이렇게 하면 셀폰서비스회사에서 조사할 수 있도록 텍스트가 전송된다. 사이버 보안 회사인 노턴에는 프로세스에 대한 가이드가 있다. -원치 않는 메시지 또는 알 수 없는 발신자를 필터링하거나 차단하는 도구 사용을 고려하라. 1. 모바일 장치에 스팸 방지 기능이 내장되어 있을 수 있다. 메시징 앱의 설정을 확인해야 한다. 2. 대부분의 주요 셀폰회사는 통화 차단 서비스를 제공한다. 3. 일부 통화 차단 앱도 정크 텍스트를 필터링한다. ▶하지 말아야 할 것 원치 않는 텍스트에 대한 응답으로 또는 메시지가 링크된 웹사이트에서 개인 또는 금융 데이터를 제공하지 말아야 한다. -의심스러운 텍스트의 링크를 클릭하지 말아야 한다. 스마트폰에 맬웨어를 설치하거나 동일한 작업을 수행하는 사이트로 사용자를 유도할 수 있다. -메시지에 의하면 더 많은 메시지를 받지 않도록 '텍스트 STOP'을 할 수 있다고 하더라도 답장하지 말아야 한다. 이는 사기꾼이나 스팸 발송자에게 귀하의 번호가 활성 상태이며 다른 악의적인 행위자에게 판매될 수 있음을 알려주는 경우다. -익숙한 전화번호나 지역번호에서 온 문자라고 해서 합법적인 텍스트라고 생각하지 말아야 한다. 스패머는 발신자 ID 스푸핑(조작)을 사용해 텍스트가 신뢰할 수 있는 출처나 로컬 출처에서 온 것처럼 보이게 한다. 결론적으로 보통 시니어에게 대단한 텍스트는 결코 오지 않는다. 그냥 이런 저런 스미싱이 온다면 사기꾼들이 보낸 것으로 보는 것이 맞다. 특히 정부에서는 절대로 이런 것을 보내지 않는다. 장병희 기자개인정보 클릭 텍스트 메시지 스미싱 텍스트 사기 텍스트