URL 남기지 않는 신종 스미싱 유행…콜백 유도 후 원격제어 앱 설치
한국인터넷진흥원 "기존 URL 차단시스템 우회 노려" 
스마트폰 운영체제(OS) 업데이트 필수·URL로 앱설치 유도는 100% 악성

[서울=뉴시스] 인터넷 범죄 관련 이미지. (사진=뉴시스 DB) 2025.02.19. photo@newsis.com

[서울=뉴시스]송혜리 기자 = #고객님의 개인정보가 유출되어 명의가 도용된 가능성이 있습니다. 혹시 휴대폰에 악성 앱이 설치돼 있는지 원격으로 점검해 드리겠습니다. 구글 플레이스토어에서 000 앱을 설치하시고, 인증번호를 알려주시면 확인 도와드리겠습니다.

문자 메시지나 소셜네트워크서비스(SNS)로 악성 앱이 깔리는 링크(URL)를 보내는 방식이 아닌, 전화 '콜백'을 유도해 정보를 수집하거나 원격제어 앱 설치를 강요하는 신종 스미싱 범죄가 기승을 부리고 있다.

스마트폰에 설치된 보안 프로그램을 우회하기 위한 수법으로 풀이된다. 기존 스미싱 차단 프로그램은 악성 URL 등을 통해 사기 여부를 가리는 방식이어서, URL이 포함돼 있지 않으면 쉽게 무력화할 수 있다.

31일 한국인터넷진흥원(KISA)에 따르면 카드 발급', '배송', '해외 결제' 등의 문구가 포함된 문자 메시지를 이용하면서, 기존 스미싱처럼 URL를 포함하지 않고 문자 내에 전화번호만 기재해 피해자가 직접 전화를 걸도록 유도하는 스미싱이 확산되고 있다.

전화를 받은 피해자는 "카드를 발급한 적이 없다"는 이유로 발급 취소를 요청하게 되고 이 과정에서 공격자는 본인 확인을 명목으로 신분 정보를 수집한 뒤, 원격 제어 앱 설치를 요구한다.

특히, 이 공격은 고령층 등 스마트폰 사용이 익숙하지 않은 이용자를 주요 대상으로 삼는다. 피해자가 앱 설치에 어려움을 보일 경우, 공격자는 "원격으로 도와드리겠다"며 피해자 스스로 공식 앱스토어에서 원격제어 앱을 설치하게 만든다. 이후 "해킹된 것 같다"며 백신 앱 설치를 권유하지만, 실제로는 악성 앱을 설치해 휴대폰을 완전히 장악하게 된다.

김은성 KISA 스미싱대응팀장은 "최근에는 사칭 메시지를 보내고 나서, 바로 링크를 클릭하게 유도하는 방식에서 조금 더 진화된 형태의 수법이 등장하고 있다"고 설명했다.

이어 "과거에는 문자에 직접 링크가 포함돼 있어 탐지와 차단이 가능했지만, 최근에는 링크를 넣지 않고 수신자와의 대화 중 자연스럽게 링크를 전달하는 방식으로 바뀌고 있다"면서 "이러한 방식은 기존 탐지 시스템을 우회할 수 있어, 공격자들이 더 정교한 스미싱 수법으로 활용하고 있다"고 설명했다.

'내 QR로 하면 마일리지 쌓인다' 스스로 재유포 

또 다른 새로운 스미싱 유형은 QR코드를 악용한 피싱인 '큐싱'이다. 

큐싱은 사용자가 스마트폰 카메라로 QR코드를 스캔하면 악성코드가 탑재된 앱 설치를 유도하거나, 악성 웹사이트로 연결시키는 등으로 개인정보와 금융정보를 빼가는 공격 방식이다.

앞서 중국에서는 가짜 QR코드를 담은 주차 위반 딱지가 발견되기도 했고 스페인 마드리드에선 공공 자전거에 부착된 사기 QR코드가 발견돼 논란이 됐다. 우리 정부도 초·중·고 학생들 사이에서 QR코드 활용이 급증하면서 이를 악용한 큐싱 피해에 대한 주의를 당부한 바 있다.

김은성 팀장은 "문제는 이 악성 앱이 단순히 1차 감염에 그치지 않고, 재유포가 가능한 구조라는 점"이라고 강조했다.

이어 "예를 들어 '이 QR 코드를 스캔해서 앱을 설치하면 쿠폰이 들어 있는 앱이 설치되고, 소개자의 QR 코드로 가입하시면 그의 마일리지가 올라간다'고 소개하면, 자연스럽게 주변 사람들에게 QR 코드를 공유하게 되고, 그 과정에서 앱이 계속 퍼지게 되는 구조"라고 말했다. 

김 팀장은 "이런 방식은 기존에 탐지하던 방식과 다르게 오프라인에서 사람과 사람을 통해 직접 퍼지는 구조이기 때문에, 기존 시스템으로는 유입을 막을 수 없다"고 설명했다. 

스마트폰 업데이트부터…URL로 앱 설치는 100% 악성

이런 새로운 스미싱에 피해를 입지 않기 위해서는 ▲스마트폰 운영체제(OS) 업데이트 ▲문자 또는 SNS 메세지에 포함된 URL 통해 앱설치 하지 않기 ▲전화 연결로 앱 설치를 권유하면 100% 피싱, 바로 끊기 ▲모바일 백신 하나쯤은 반드시 설치 등을 기억해야 한다. 

김은성 팀장은 스마트폰 OS를 최신으로 유지하는 것이 가장 효과적인 예방책이라고 강조했다. 

김 팀장은 "사실 지금 나오는 최신 스마트폰에는 이미 피싱이나 스미싱을 어느 정도 대응할 수 있는 기능들이 기본적으로 탑재돼 있다"면서 "별도의 앱보다도 스마트폰 OS를 최신으로 유지하는 것이 현재 유행하고 있는 스미싱이나 피싱 범죄를 예방하는 데 가장 효과적인 방법"이라고 설명했다. 

이어 "문자 메시지뿐만 아니라 SNS 메시지에도 똑같이 URL이 포함될 수 있다"면서 "그래서 URL을 통해서 앱을 설치하는 것 자체를 아예 하지 않으시는 게 가장 안전하다"고 말했다. 

특히, 김 팀장은 "전화 통화 중에 '이 앱을 설치해보세요'라고 유도하는 경우, 이건 정말 100% 스미싱"이라며 "전화 통화 중에 앱 설치를 유도하는 경우는 절대 따라하면 안된다"고 말했다.


☞공감언론 뉴시스 chewoo@newsis.com 

Copyright © 뉴시스. 무단전재 및 재배포 금지.