1. 개요
바로가기 메뉴 본문 바로가기 주메뉴 바로가기 푸터 바로가기 ENG[1]
사업소개
국민피해 대응
스미싱·큐싱 공격 대응
사업목적 - 택배, 청첩장 등 일상생활에서 자주 이용되는 문자내용을 사칭한 스미싱 문자를 이용하거나 QR코드를 사칭한 큐싱 QR코드를 통해 악성앱 감염 후 전화번호, 문자정보 등 개인정보를 유출하고, 2차 피해로 확산을 방지하기 위해 스미싱 문자·큐싱[1] 분류 개인정보보호 작성일 2024.09.09 수정일 2024.09.11 작성자 정보혁신본부 조회수 5005 스미싱(SMS 피싱)이란?[8] 스미싱은 문자 메시지를 이용한 피싱 사기의 일종으로, 사용자가 악성 링크를 클릭하거나 악성 앱을 설치하도록 유도하여 개인 정보를 탈취하거나 금전적 피해를 입히는 수법이니다.[8]
최근 정부 기관이나 금융기관, 택배 회사, 지인 등을 사칭하는 경우가 많아 더욱 주의가 필요하다.[8] 메뉴정보없음 \> - 등록자명 전혜연 - 부서명 임시부서 - 조회수 5,850 - 등록일자 2013-05-29 환경부 홈페이지 스미싱 피해예방과 대처방법 안녕한다 환경부이다.[7] 최근 발신번호 1577-8866을 악용하는 스미싱(문자피싱) 피해가 발생하고 있으니 각별한 주의를 당부드린다.[7]
\- 스미싱(Smishing)이란 문자메시지(SMS)와 피싱(Phishing)의 결합어로 문자메시지를 이용한 새로운 휴대폰 해킹기법으로 쉽게 말해 SMS를 통한 금융사기이다.[7]
바로가기
전체메뉴 - 책자형 - 책자형 생활법령 - 가정법률 - 아동·청소년/교육 - 부동산/임대차 - [금융/금전](http://easylaw.go.kr[^2](새 탭에서 열림)
2. 스미싱의 작동 원리와 수법
스미싱은 문자메시지를 매개체로 활용하는 피싱 사기의 한 유형이다.[8] 공격자는 수신자가 악성 링크을 클릭하거나 악성 애플리케이션을 설치하도록 유도하는 방식을 사용한다. 이러한 과정을 통해 사용자의 개인정보를 탈취하거나 직접적인 금전적 피해를 입히는 것이 주요 목적이다.
최근에는 QR코드를 사칭하여 공격을 수행하는 큐싱 방식과 연계되는 사례가 나타나고 있다.[1] 공격자는 택배 배송 안내나 청첩장과 같이 일상생활에서 흔히 접할 수 있는 내용을 사칭하여 사용자의 경계심을 무너뜨린다. 사용자가 사칭된 메시지에 포함된 링크나 코드를 실행하면 기기에 악성 소프트웨어가 설치되는 구조를 가진다.
악성 앱이 기기에 설치되면 전화번호와 문자정보를 포함한 다양한 개인정보가 외부로 유출된다.[1] 탈취된 정보는 추가적인 2차 피해를 확산시키는 도구로 활용될 수 있다. 따라서 정부 기관이나 금융기관, 혹은 지인을 사칭하는 메시지에 포함된 링크를 주의 깊게 확인해야 한다.[8]
3. 주요 사칭 유형 및 사례
스미싱 공격자는 일상생활에서 빈번하게 이용되는 상황을 모방하여 수신자를 기만한다. 대표적인 유형 중 하나는 택배 및 배송 관련 안내를 사칭하는 방식이다. 공격자는 택배 회사를 사칭하여 배송 상태 확인이나 주소지 오류 등을 명목으로 문자 메시지를 발송한다. 사용자가 메시지에 포함된 악성 링크를 클릭하게 되면 악성 앱이 설치되며, 이를 통해 전화번호나 문자 정보와 같은 개인정보가 유출될 위험이 크다.[1] 이러한 수법은 일상적인 물류 서비스 이용 패턴을 악용하므로 사용자가 경계심을 낮추기 쉽다는 특징이 있다.
지인의 소식을 전하는 형식을 빌린 청첩장 및 경조사 관련 사칭도 주요한 공격 수법이다. 공격자는 청첩장이나 경조사 안내 문구를 사용하여 수신자의 호기심을 자극하거나 사회적 관계를 이용해 접근한다. 사용자가 확인을 위해 링크를 실행할 경우 악성 앱 감염으로 이어지며, 이는 개인정보 탈취뿐만 아니라 금전적 피해를 입히는 결과로 이어진다.[8] 특히 명절과 같은 특정 시기에는 가족이나 지인을 사칭한 미끼 문자를 발송하여 피해를 입히는 사례가 빈번하게 확인된다.[8]
정부 기관이나 공공기관, 그리고 금융기관을 사칭하여 신뢰를 얻으려는 시도도 지속적으로 발생한다. 공격자는 공신력 있는 기관의 명칭을 도용하여 사용자가 의심 없이 악성 링크를 클릭하거나 악성 앱을 설치하도록 유도한다.[8] 예를 들어 특정 발신번호를 악용하여 스미싱 피해를 일으키는 사례가 보고된 바 있으며, 이는 사용자의 금융 정보를 노리는 직접적인 위협이 된다.[7] 따라서 알지 못하는 번호로부터 온 무료 쿠폰, 명세서 확인 요청, 혹은 조회 요청 문자에 포함된 URL은 실행하지 않도록 주의해야 한다.[7]
4. 전자금융범죄로서의 특징
스미싱은 전자금융범죄의 범주에 포함되는 하위 유형 중 하나로 분류된다.[3] 이러한 범죄는 정보통신기술을 악용하여 불특정 다수를 대상으로 수행된다. 공격자는 문자메시지를 매개체로 활용하여 사용자의 기기에 악성 앱을 설치하도록 유도한다. 이 과정에서 탈취된 개인정보는 금융 사고를 일으키는 핵심적인 수단이 된다.
금전적 피해가 발생하는 경로는 크게 두 가지 단계로 구분할 수 있다. 우선 사용자가 악성 링크를 클릭함으로써 전화번호나 문자정보와 같은 민감한 데이터가 유출된다. 이렇게 확보된 정보는 금융기관을 사칭한 추가 공격에 이용되거나, 계좌 및 결제 시스템에 무단 접근하는 통로가 된다.[6] 결과적으로 개인의 자산이 직접적으로 탈취되는 경제적 손실로 이어진다.
개인정보 유출과 금융 사고 사이에는 밀접한 상관관계가 존재한다. 탈취된 개인정보는 피싱 공격의 정밀도를 높이는 데 사용되며, 이는 곧 금전적 피해의 규모를 키우는 원인이 된다. 특히 정부 기관이나 금융기관을 사칭하는 수법이 고도화됨에 따라, 정보 유출이 단순한 사생활 침해를 넘어 실질적인 자산 탈취로 직결되는 양상을 보인다.[8]
5. 피해 예방 방법
스미싱 피해를 방지하기 위해서는 스마트폰의 보안설정을 강화하는 것이 필수적이다. 출처가 불분명한 무료쿠폰 안내나 명세서 확인, 혹은 조회 요청을 목적으로 발송된 문자메시지 내의 URL을 실행하지 않아야 한다.[7] 사용자는 모르는 번호로 전달된 링크를 클릭함으로써 악성 앱이 설치되지 않도록 주의해야 한다.
기기 자체의 기능을 활용하여 스팸 문자를 사전에 차단하는 방법도 효과적이다. 휴대폰의 문자메시지 설정 메뉴를 통해 특정 단어를 스팸문구로 등록할 수 있다. 이때 쿠폰, 상품권, 무료, 조회, 공짜와 같은 단어들을 미리 등록해 두면 스미싱 공격을 예방하는 데 도움이 된다.[7]
개인 차원의 대응뿐만 아니라 사회적 차원의 계층별 교육 또한 중요하다. 정보광장 등에서 제공하는 서비스 가이드와 슬기로운 피해예방 수칙을 참고하여 각 계층에 맞는 맞춤형 교육을 시행할 필요가 있다.[4] 이러한 교육은 개인정보 유출과 2차 피해의 확산을 막기 위한 핵심적인 방안이다.
6. 피해 발생 시 대응 절차
스미싱 피해를 인지한 즉시 추가적인 금전적 손실을 막기 위한 관리 전략을 실행해야 한다. 악성 URL을 통해 악성 앱이 설치되었다면 즉시 스마트폰의 네트워크 연결을 차단하고 기기를 초기화하거나 보안 점검을 수행한다. 또한 금융기관에 연락하여 계좌 지급 정지를 요청함으로써 2차 피해가 확산되는 것을 방지해야 한다.
피해 지역이나 개인의 상황에 따른 적응 전략으로는 전기통신금융사기 통합대응단과의 연계를 통한 체계적인 대응이 필요하다. 사용자는 피싱안심SOS와 같은 제보 센터를 활용하여 발생한 사건을 신고하고 관련 정보를 공유할 수 있다.[5] 이러한 전문 기관의 도움을 통해 개인정보 유출에 따른 추가적인 금융사기 가능성을 차단하는 것이 중요하다.
스미싱 및 큐싱 공격에 대응하기 위해 한국인터넷진흥원 등 전문 기관은 관측 체계와 연구를 지속하고 있다. 이들은 택배나 청첩장 등 일상적인 내용을 사칭한 공격 패턴을 분석하여 국민피해 대응 체계를 강화한다.[1] 국제적인 해킹 기법의 변화에 맞추어 스미싱 문자와 QR코드를 이용한 공격을 탐지하고 차단하는 기술적 연구가 병행된다.
피해 발생 후의 조기 대응은 개인정보와 전화번호 등 민감한 데이터의 탈취를 막기 위해 필수적이다. 환경부 등 공공기관에서도 특정 발신번호를 악용한 사례를 공지하며 각별한 주의를 당부하고 있다.[7] 신속한 신고와 스팸문구 설정 등의 정책적 실행은 스미싱 범죄의 확산을 억제하는 핵심적인 역할을 수행한다.