발생 건수 8배, 피해 금액 36배. 최근 5년간 늘어난 스미싱 범죄 관련 수치다.
한국인터넷진흥원(KISA)이 이상휘 국민의힘 의원실에 제출한 자료를 보면 2019년 207건이던 스미싱 건수는 지난해 1673건으로 늘고 피해 금액도 같은 기간 4억원에서 144억원으로 훌쩍 뛰었다.
스미싱(Smishing)은 문자메시지(SMS)와 피싱(Phishing)의 합성어로 문자메시지에 담긴 인터넷 주소를 클릭하면 악성코드가 스마트폰에 설치되며 소액결제 피해 또는 개인·금융정보 탈취를 야기하는 범죄다.
올해 국정감사에서도 이는 화두가 됐다. 이상휘 위원은 “이용자가 스미싱으로 의심되는 악성 링크를 직접 신고하는 방식은 예방이 아닌 피해 신고로 ‘사후약방문’에 불과하다”고 지적했다.
같은당 최수진 의원도 스미싱 피해를 집중 조명했다. 최 의원은 올해 1~6월 KISA에 들어온 스미싱 피해 신고는 88만7859건으로 지난 2020년(95만843건) 이후 가장 많았다고 지적했다.
이처럼 스미싱 피해가 기승을 부리면서 이를 예방하려는 노력도 활발하다. 민간은 물론 공공 차원에서도 피해 방지에 힘을 기울이고 있다. 특히 KISA가 내놓은 서비스가 눈에 띈다.
KISA는 지난 3월 카카오톡 채널 ‘보호나라’에 ‘스미싱 확인 서비스’를 개설했다. 문자 메시지 속 URL의 유해성을 판독하는 서비스다. KISA에 따르면 출범 6개월이 지난 현재 20만7000여명이 해당 서비스를 활용하고 있다.
보호나라 대화방에서 스미싱 확인 버튼을 누르면 “스미싱 확인이 필요한 수신문자를 채팅방에 입력해 주세요”라는 안내문이 뜬다. 이후 의심스러운 메시지를 대화창에 붙여 넣으면 판독 결과를 알려준다. 최초 신고 사례는 우선 ‘주의’로 표기한 뒤 10분 안팎의 판독을 거쳐 정상 또는 악성 여부를 확인할 수 있다는 게 서비스 론칭 당시 KISA의 설명이었다.
하지만 6개월이 지난 지금도 갈 길이 먼 모습이다. 우선 사용자 편의성이 떨어진다는 지적이 나온다. 스미싱 메뉴를 누르지 않고 바로 보호나라 채널 채팅창에 URL을 넣으면 제대로 된 답을 내지 못한다. 실제 포털 사이트 네이버라는 설명과 함께 네이버의 URL을 채팅창에 바로 입력한 결과 답변이 어렵다는 채팅이 돌아왔다.
별도로 스미싱 버튼을 눌러 입력한 결과도 마찬가지다. “확인되지 않은 링크”라며 우선 주의 메시지부터 보낸다. 당초 KISA는 안전성이 검증된 URL 화이트리스트를 축적해 판독 속도를 높이겠다고 밝힌 바 있다. 하지만 KISA의 설명과 달리 판독에는 오랜 시간이 걸렸다. 네이버뿐만 아니라 서비스를 제공하는 KISA 공식 홈페이지 또한 주의해야 할 URL로 안내했다.
추가로 ‘미출금자산(ETH) 소각 예정’ 문자를 넣었다. 해당 문자는 최근 커뮤니티 등지에서 대표적인 스미싱 시도로 꼽히는 사례다. 1시간이 지나도 판독 결과가 나오지 않았다. 재차 스미싱 접수 결과 확인 버튼을 눌러도 기본 템플릿인 주의 메시지만 되풀이했다.
다만 민간의 노력이 곁들여지고 있는 것은 다행스러운 지점이다. 스마트폰으로 들어오는 스미싱 메시지인 만큼 아예 수신을 차단하려는 통신사들의 노력이 활발하다. 인공지능(AI)를 활용한 메시지 차단 서비스를 선보이거나 필터링 주기를 단축하는 등 사례도 다양하다.
LG유플러스는 지난달 ‘ixi 스팸필터’ 기술을 활용해 자동으로 스미싱 메시지를 걸러내는 시스템을 적용했다고 밝혔다. KISA에서 제공 받은 신고 데이터를 AI가 학습하고 미리 메시지 수신을 차단한다. LG유플러스에 따르면 필터링 정확도는 95% 이상이다. 불법대출을 비롯해 ▲도박 ▲성인 ▲불법의약품 광고에 더해 최근에는 주식 리딩방과 같은 ‘유사 투자’ 분야까지 차단 범위에 넣었다.
SK텔레콤도 더욱 촘촘한 예방에 힘을 기울이고 있다. 관련 태스크포스(TF)를 신설한 SKT는 필터링 정책 업데이트 시간도 종전 1일 1회에서 10분 1회로 대폭 줄였다.
KT는 최근 ‘목소리’ 탐지 기술을 실험하고 있다. 스미싱을 넘어 보이스피싱까지 예방하겠다는 것이다. 현재 사내에서 보이스피싱 탐지 AI에이전트를 테스트하는 중이다. 이 밖에도 올해 1월 ‘AI 클린메시징’ 기술을 적용해 스미싱 문자를 탐지, 차단해왔던 KT는 지난달 KISA와 업무 협약을 체결하고 상호 협력하기로 했다.
KISA 측은 “확인 서비스 시간은 평균 10분에서 최대 30분이 걸리지만 일부 애매한 사이트는 계속 주의로 뜨는 경우가 있다”면서 “국민 피해를 최소화하기 위해 진화하는 기법을 파악해 대응에 총력을 다하겠다”고 밝혔다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network
![[국감] "스미싱 범죄 5년간 8배…주식·가상자산 투자 유도 크게 늘어"](https://img.newspim.com/news/2024/10/10/241010101328837_w.jpg)
![[국감] 중국산 IP카메라·와이파이 공유기 해킹 심각…현실은 '사용자 직접 확인'](https://img.newspim.com/news/2016/08/16/1608161424154530.jpg)
