‘피해보상’ 메시지로 악성 앱 설치 유도…KISA “피해기업 사칭 통화·문자 주의”
‘긴급 앱 업데이트’, ‘피해보상 신청’, ‘환불’ 등 안내 문자에 악성 인터넷주소(URL)를 삽입해 피싱 사이트나 악성 앱 설치를 유도하는 유형이 대표적이다. ‘피해사실 조회’ 등 정보유출 피해 관련 키워드를 악용해 포털사이트 검색 시 피싱사이트가 검색결과 상단 또는 광고로 노출해 사용자의 접속을 유도하는 방법도 있다. 정보유출 대상자 통보 및 보상·환불 절차 안내 등을 빙자해 유선연락을 통한 원격제어 앱 설치나 피싱사이트 접속을 유도하는 수법도 우려된다.
스미싱 문자나 피싱사이트는 카카오톡 채널 ‘보호나라’ 내에서 ‘스미싱·피싱 확인서비스’를 이용해 신고 및 악성여부를 판별할 수 있다.
KISA는 문자 수신 시 출처가 불분명한 사이트 주소는 클릭을 자제하고 바로 삭제할 것을 당부했다. 의심되는 사이트 주소의 경우 정상 사이트와의 일치 여부를 확인하고 휴대폰번호, 아이디, 비밀번호 등 개인정보는 신뢰된 사이트에만 입력해야 한다. 정부기관 및 금융회사인 경우, 전화나 문자 등을 통해 원격제어 앱 설치를 요구하지 않는다고 덧붙였다.
만약 악성 앱 감염 및 피싱 사이트를 통한 정보 유출이 의심되는 경우 이동통신사에 무료로 번호도용문자차단서비스를 신청해서 번호 도용 가능성을 차단해야 한다. 모바일 결제 피해가 확인되면 통신사 고객센터를 통해 소액결제확인서를 발급받고 경찰에 신고해야 한다.
악성 앱이 설치돼 있다면 즉시 삭제하고 서비스센터에서 점검을 받아야 한다. 악성 앱에 감염돼있던 스마트폰으로 금융서비스를 이용했다면 공인인증서, 보안카드 등 정보를 폐기해야 한다. 또 주소록을 조회해 다른 사람에게 유사한 내용의 스미싱을 발송하는 등 2차 피해 방지를 위해 주변 지인에게 스미싱 피해 사실을 알릴 것을 당부했다.
노영현 기자 nogoon@ilyo.co.kr