2024년 스미싱 탐지 150만 건 돌파, 국민 일상 위협 증가
KISA 국민피해대응단, 스미싱·보이스피싱 대응 강화...큐싱 탐지 서비스도 도입 예정
[보안뉴스 박은주 기자] 한국인터넷진흥원(KISA)에 따르면 2024년 기준 스미싱 탐지 건수는 150만 건으로, 전년 대비 약 3배가량 증가했다. 이 중 공공기관을 사칭한 스미싱이 약 96만 건으로 가장 많았고, 지인 사칭이 약 28만 건을 차지했다. 임영웅 콘서트, 주식 리딩방을 활용한 공격 등 관심사를 이용한 스미싱 공격도 있었다.
▲스미싱 사칭 유형별 탐지 건수 및 스미싱 예시[자료=KISA]
보이스피싱 피해 금액은 일부 감소세를 보이는 듯했지만, 2024년 상반기 피해 금액이 3,242억원에 달하며 문제의 심각성을 보여주고 있다. 그간 공격 방식으로 URL이 첨부된 문자를 보냈다면 최근에는 메신저 아이디를 통해 채팅방에 접속하게 유인한 후, 피싱 사이트로 접속하게 만드는 등 공격 수법이 더욱 교묘해지는 상황이다.
▲KISA 국민피해대응단 이동연 단장[사진=KISA]
이와 관련 KISA 국민피해대응단 이동연 단장은 “문자에 링크가 있어야 스미싱 확인 서비스로 스미싱 여부를 탐지할 수 있는데, 채팅방 유도는 이를 우회하려는 방법으로 보인다”며 “피해자를 대화방에 초대하고 유대를 쌓은 뒤 피싱 링크를 보내는 식”이라고 설명했다.
문자에 포함된 URL을 누르거나 채팅방에서 유도하는 링크 즉 피싱 사이트로 접속하게 되면, 스마트폰에 악성 앱이 설치된다. 앱을 통해 기기에 저장된 연락처, 사진, 메신저 대화 내용이 탈취된다. 카메라를 통해 피해자를 감시하며 중간에 전화를 가로챌 수 있게 된다.
예를 들어 피해자가 경찰에 신고하려고 112에 전화를 걸어도 피싱범에게 연결되도록 가로채는 방식이다. 이처럼 스마트폰의 통제권을 완전히 상실하게 되고, 이 과정에서 금전 탈취 및 피해자 연락처를 활용한 2차 범죄가 발생할 위험이 있다.
KISA가 말하는 피싱 대응 방향
KISA는 국민 일상을 위협하는 피싱 범죄를 전담 대응하기 위해 올해 5월 ‘국민피해대응단’을 신설했다. △보이스피싱대응팀 △스미싱대응팀 △디지털위협분석팀으로 구성돼 있다. 신설 후 주요 활동으로 보이스피싱·스미싱 등에 악용된 전화 회선 및 문자계정 차단, 신종 보이스피싱 수법 공유 및 분야별 공동 대응방안 마련을 위한 협의체를 운영하는 등 디지털 민생범죄에 대응하기 위한 업무를 맡고 있다.
피싱을 알리다
KISA는 발신 번호를 거짓으로 표기할 수 없게 하거나, 번호를 사칭한 전화 서비스를 차단하는 등 이동통신사(이통사)와 협의를 통해 피싱 예방 서비스를 지원하고 있다. 우선 사용자가 문자나 전화를 받았을 때 피싱 여부를 구분할 수 있도록 △인터넷 대용량 문자발송 시 [Web발신] △해외에서 문자를 보낼 때 [국제발신] △로밍된 휴대전화로 문자를 보내면 [로밍발신]으로 표기하고 있다. 더불어 공공기관 안심마크 서비스를 통해 문자의 발신 번호 위·변조를 방지하는 방안 및 음성으로 국제전화를 안내하는 서비스를 지원한다.
피싱을 억제한다
KISA는 보이스피싱 발송차단을 강화하기 위해 통신사별 문자 식별코드 삽입 제도를 도입했다. 이 제도는 피해자가 신고한 문자의 이동통신사를 식별 코드로 확인해 기존의 복잡한 추적 과정을 간소화했다. 이에 따라 발신자를 찾아내는 시간이 기존 7일에서 약 2일로 크게 단축됐다. 신속한 조치를 통해 공격자를 효과적으로 추적하고 대응하는 기반을 마련한 것이다.
▲KISA 국민피해대응단 보이스피싱대응팀 석지희 팀장[사진=KISA]
또한 해외에서 걸려오는 지인 사칭 전화의 경우, 통신망을 활용해 해당 사용자의 정상적인 로밍 여부를 확인할 수 있다. 사용자가 국내에 있는 것으로 확인되면, 국제전화 수신 자체를 차단하는 방식으로 추가적인 피해를 예방하고 있다.
2025년에는 보이스피싱 범죄에 더 강력하게 대응하기 위해 피싱과 연관된 번호를 일괄 차단할 수 있게 된다. 국민피해대응단 보이스피싱대응팀 석지희 팀장은 “기존에는 번호 변작이 확인된 단일 번호만 이용 정지가 가능했지만, 앞으로는 연관된 모든 전화 회선과 문자발송 계정까지 차단할 수 있게 될 것”이라고 설명했다. 현재 동일 명의로 발급할 수 있는 휴대폰 번호가 최대 5개(휴대폰 번호 변경 2회, 투넘버 서비스 2회 포함)인 점을 고려할 때, 새로운 서비스는 피싱 공격에 대한 대응력을 대폭 강화할 전망이다.
스미싱·큐싱을 탐지할 수 있는 KISA의 확인 서비스
KISA는 스미싱 탐지 강화를 위해 카카오톡 ‘보호나라’ 채널을 통해 스미싱 확인 서비스를 2024년 3월부터 제공하고 있다. 이 서비스는 사용자들이 받은 문자 메시지의 링크가 악성인지 여부를 쉽게 확인할 수 있게 도와준다.
통계에 따르면, 주요 사용자는 20·30대(36%)와 40·50대(37%)로 나타났으며, 10대 사용자는 10%로 가장 낮았다. 특히 10대를 겨냥한 스미싱도 잦은 만큼 이들 10대를 대상으로 한 홍보와 서비스 이용 독려에 대한 논의가 이뤄지고 있다.
▲KISA 국민피해대응단 스미싱대응팀 김은성 팀장[사진=KISA]
최근 큐싱(QR코드를 활용한 피싱)이 새로운 위협으로 부상하고 있다. 큐싱은 QR코드에 악성코드를 숨기거나 피싱 사이트로 연결되도록 하는 방식이다. 대여식 자전거나 악성 사이트, 피싱 메일 등을 통해 QR코드가 배포되는 경우가 많아 각별한 주의가 필요하다. 이에 KISA는 QR코드를 스캔해 악성 여부를 탐지할 수 있는 큐싱 확인 서비스를 2024년 내로 개시할 계획이다.
국민피해대응단 스미싱대응팀 김은성 팀장은 “큐싱 확인 서비스는 카메라를 켜고 QR코드를 스캔해 악성 여부를 탐지하는 서비스”라고 설명하며 “물리적으로 악성 QR코드가 부착된 경우는 대처 방안을 강구하고 있다”고 말했다.
피싱으로부터 안전한 환경 구축
피싱 범죄로부터 안전한 환경을 구축하기 위해 KISA는 저연령층과 고연령층을 모두 아우르는 전용 스마트폰 환경 개발을 논의 중이다. 스마트폰 개발 단계부터 보안 취약점을 보완하는 시큐어 코딩 개념을 도입해 악성 사이트 접근을 제한하는 방식을 적용할 방침이다. 이러한 환경은 피싱 범죄로부터 취약한 계층이 안심하고 스마트폰을 이용할 수 있는 기반을 제공할 전망이다.
더불어 KISA는 IT 취약계층을 대상으로 한 디지털 보안 인프라 구축과 관련한 논의를 지속하고 있다. 그 계획 중 하나로 전국 어디서나 IT 취약계층이 쉽게 접근할 수 있는 ‘스마트 보건소’가 논의되고 있다. KISA는 국민이 안전한 디지털 환경에서 생활할 수 있도록 다각적인 대응책을 마련하며, 피싱 범죄와의 싸움을 지속적으로 이어갈 방침이다.
[박은주 기자(boan5@boannews.com)]
KISA 국민피해대응단, 스미싱·보이스피싱 대응 강화...큐싱 탐지 서비스도 도입 예정
[보안뉴스 박은주 기자] 한국인터넷진흥원(KISA)에 따르면 2024년 기준 스미싱 탐지 건수는 150만 건으로, 전년 대비 약 3배가량 증가했다. 이 중 공공기관을 사칭한 스미싱이 약 96만 건으로 가장 많았고, 지인 사칭이 약 28만 건을 차지했다. 임영웅 콘서트, 주식 리딩방을 활용한 공격 등 관심사를 이용한 스미싱 공격도 있었다.
▲스미싱 사칭 유형별 탐지 건수 및 스미싱 예시[자료=KISA]
보이스피싱 피해 금액은 일부 감소세를 보이는 듯했지만, 2024년 상반기 피해 금액이 3,242억원에 달하며 문제의 심각성을 보여주고 있다. 그간 공격 방식으로 URL이 첨부된 문자를 보냈다면 최근에는 메신저 아이디를 통해 채팅방에 접속하게 유인한 후, 피싱 사이트로 접속하게 만드는 등 공격 수법이 더욱 교묘해지는 상황이다.
▲KISA 국민피해대응단 이동연 단장[사진=KISA]
이와 관련 KISA 국민피해대응단 이동연 단장은 “문자에 링크가 있어야 스미싱 확인 서비스로 스미싱 여부를 탐지할 수 있는데, 채팅방 유도는 이를 우회하려는 방법으로 보인다”며 “피해자를 대화방에 초대하고 유대를 쌓은 뒤 피싱 링크를 보내는 식”이라고 설명했다.
문자에 포함된 URL을 누르거나 채팅방에서 유도하는 링크 즉 피싱 사이트로 접속하게 되면, 스마트폰에 악성 앱이 설치된다. 앱을 통해 기기에 저장된 연락처, 사진, 메신저 대화 내용이 탈취된다. 카메라를 통해 피해자를 감시하며 중간에 전화를 가로챌 수 있게 된다.
예를 들어 피해자가 경찰에 신고하려고 112에 전화를 걸어도 피싱범에게 연결되도록 가로채는 방식이다. 이처럼 스마트폰의 통제권을 완전히 상실하게 되고, 이 과정에서 금전 탈취 및 피해자 연락처를 활용한 2차 범죄가 발생할 위험이 있다.
KISA가 말하는 피싱 대응 방향
KISA는 국민 일상을 위협하는 피싱 범죄를 전담 대응하기 위해 올해 5월 ‘국민피해대응단’을 신설했다. △보이스피싱대응팀 △스미싱대응팀 △디지털위협분석팀으로 구성돼 있다. 신설 후 주요 활동으로 보이스피싱·스미싱 등에 악용된 전화 회선 및 문자계정 차단, 신종 보이스피싱 수법 공유 및 분야별 공동 대응방안 마련을 위한 협의체를 운영하는 등 디지털 민생범죄에 대응하기 위한 업무를 맡고 있다.
피싱을 알리다
KISA는 발신 번호를 거짓으로 표기할 수 없게 하거나, 번호를 사칭한 전화 서비스를 차단하는 등 이동통신사(이통사)와 협의를 통해 피싱 예방 서비스를 지원하고 있다. 우선 사용자가 문자나 전화를 받았을 때 피싱 여부를 구분할 수 있도록 △인터넷 대용량 문자발송 시 [Web발신] △해외에서 문자를 보낼 때 [국제발신] △로밍된 휴대전화로 문자를 보내면 [로밍발신]으로 표기하고 있다. 더불어 공공기관 안심마크 서비스를 통해 문자의 발신 번호 위·변조를 방지하는 방안 및 음성으로 국제전화를 안내하는 서비스를 지원한다.
피싱을 억제한다
KISA는 보이스피싱 발송차단을 강화하기 위해 통신사별 문자 식별코드 삽입 제도를 도입했다. 이 제도는 피해자가 신고한 문자의 이동통신사를 식별 코드로 확인해 기존의 복잡한 추적 과정을 간소화했다. 이에 따라 발신자를 찾아내는 시간이 기존 7일에서 약 2일로 크게 단축됐다. 신속한 조치를 통해 공격자를 효과적으로 추적하고 대응하는 기반을 마련한 것이다.
▲KISA 국민피해대응단 보이스피싱대응팀 석지희 팀장[사진=KISA]
또한 해외에서 걸려오는 지인 사칭 전화의 경우, 통신망을 활용해 해당 사용자의 정상적인 로밍 여부를 확인할 수 있다. 사용자가 국내에 있는 것으로 확인되면, 국제전화 수신 자체를 차단하는 방식으로 추가적인 피해를 예방하고 있다.
2025년에는 보이스피싱 범죄에 더 강력하게 대응하기 위해 피싱과 연관된 번호를 일괄 차단할 수 있게 된다. 국민피해대응단 보이스피싱대응팀 석지희 팀장은 “기존에는 번호 변작이 확인된 단일 번호만 이용 정지가 가능했지만, 앞으로는 연관된 모든 전화 회선과 문자발송 계정까지 차단할 수 있게 될 것”이라고 설명했다. 현재 동일 명의로 발급할 수 있는 휴대폰 번호가 최대 5개(휴대폰 번호 변경 2회, 투넘버 서비스 2회 포함)인 점을 고려할 때, 새로운 서비스는 피싱 공격에 대한 대응력을 대폭 강화할 전망이다.
스미싱·큐싱을 탐지할 수 있는 KISA의 확인 서비스
KISA는 스미싱 탐지 강화를 위해 카카오톡 ‘보호나라’ 채널을 통해 스미싱 확인 서비스를 2024년 3월부터 제공하고 있다. 이 서비스는 사용자들이 받은 문자 메시지의 링크가 악성인지 여부를 쉽게 확인할 수 있게 도와준다.
통계에 따르면, 주요 사용자는 20·30대(36%)와 40·50대(37%)로 나타났으며, 10대 사용자는 10%로 가장 낮았다. 특히 10대를 겨냥한 스미싱도 잦은 만큼 이들 10대를 대상으로 한 홍보와 서비스 이용 독려에 대한 논의가 이뤄지고 있다.
▲KISA 국민피해대응단 스미싱대응팀 김은성 팀장[사진=KISA]
최근 큐싱(QR코드를 활용한 피싱)이 새로운 위협으로 부상하고 있다. 큐싱은 QR코드에 악성코드를 숨기거나 피싱 사이트로 연결되도록 하는 방식이다. 대여식 자전거나 악성 사이트, 피싱 메일 등을 통해 QR코드가 배포되는 경우가 많아 각별한 주의가 필요하다. 이에 KISA는 QR코드를 스캔해 악성 여부를 탐지할 수 있는 큐싱 확인 서비스를 2024년 내로 개시할 계획이다.
국민피해대응단 스미싱대응팀 김은성 팀장은 “큐싱 확인 서비스는 카메라를 켜고 QR코드를 스캔해 악성 여부를 탐지하는 서비스”라고 설명하며 “물리적으로 악성 QR코드가 부착된 경우는 대처 방안을 강구하고 있다”고 말했다.
피싱으로부터 안전한 환경 구축
피싱 범죄로부터 안전한 환경을 구축하기 위해 KISA는 저연령층과 고연령층을 모두 아우르는 전용 스마트폰 환경 개발을 논의 중이다. 스마트폰 개발 단계부터 보안 취약점을 보완하는 시큐어 코딩 개념을 도입해 악성 사이트 접근을 제한하는 방식을 적용할 방침이다. 이러한 환경은 피싱 범죄로부터 취약한 계층이 안심하고 스마트폰을 이용할 수 있는 기반을 제공할 전망이다.
더불어 KISA는 IT 취약계층을 대상으로 한 디지털 보안 인프라 구축과 관련한 논의를 지속하고 있다. 그 계획 중 하나로 전국 어디서나 IT 취약계층이 쉽게 접근할 수 있는 ‘스마트 보건소’가 논의되고 있다. KISA는 국민이 안전한 디지털 환경에서 생활할 수 있도록 다각적인 대응책을 마련하며, 피싱 범죄와의 싸움을 지속적으로 이어갈 방침이다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
