스미싱 문자, 보안 앱 없이 구별할 수 있다?

교묘해지는 수법 탓에 스미싱(Smishing) 문자 피해 사례가 속출하고 있다. 한국인터넷진흥원(KISA)에 따르면, 지난해 스미싱 문자 메시지 피해 건수는 2019년 대비 약 8배 증가한 1673건, 피해 금액은 144억에 달한다.

크게보기

스미싱 수법은 점점 교묘해진다 / 출처=셔터스톡

스미싱 문자는 지인 또는 공공기관을 사칭해 부고, 청첩장, 택배 알림 등 일상에서 흔히 접할 만한 유형으로 오기 때문에 구별이 어렵다. 따라서 수상한 URL이 포함된 문자 메시지를 받으면 스미싱인지 의심하고, 평소 문자를 확인해보는 습관을 들이는 것이 좋다.

스미싱 문자 메시지를 구별하기 위해서는 보안 앱을 설치하는 방법이 있으나, 앱을 추가로 설치하는 일은 다소 귀찮게 느껴질 수 있다. 그래서 이번에는 우리가 일상에서 자주 쓰는 카카오톡을 통해 스미싱 문자를 구별하는 방법을 소개한다. 한국인터넷진흥원(KISA) 보호나라의 카카오톡 채널을 이용하는 것. 보호나라는 수신한 문자 메시지의 악성 여부를 사용자가 직접 물어보고 확인할 수 있는 ‘스미싱 확인 서비스’를 제공하고 있다.

카카오톡 채널 보호나라를 추가한다 / 출처=IT동아

우선, 카카오톡 친구 목록에서 상단 오른쪽 ‘돋보기’ 모양을 클릭해 채널 ‘보호나라’를 입력한다. 오른쪽 노란색 아이콘을 눌러 채널을 추가한다.

스미싱 확인 서비스를 누른다 / 출처=IT동아

채널을 추가하면 뜨는 서비스 선택창에서 개인 서비스를 누르고, 스미싱 확인 서비스를 누른다. 또는 하단의 파란색 메뉴를 열어 ‘스미싱’을 눌러도 된다.

보호나라의 안내 메시지가 나오면, 스미싱 확인이 필요한 수신 문자를 채팅창에 입력한다. 수신받은 문자에서 의심되는 URL 주소를 포함해, 글자 길이 20자에서 300자 이내로 입력해야 한다. 300자를 넘기는 장문 메시지를 넣으면 답장이 오지 않는다.

URL을 입력하면 주의, 정상, 악성 중 답변이 제공된다 / 출처=IT동아

5초 이내 ‘주의’, ‘정상’, ‘악성’ 세 가지의 답변 중에 한 가지가 제공된다. 주황색 바탕의 ‘주의’는 확인되지 않은 링크로, 누르기 전 주의를 요한다는 의미다. 파랑색 바탕의 ‘정상’은 악성행위가 탐지되지 않았다는 메시지다. 검은색 바탕의 ‘악성’은 악성 행위가 탐지됐다는 메시지다. 참고로, 카카오톡 메시지 특성상 URL에 대한 미리보기가 나오는데, 메시지를 넘기면서 자칫 잘못 누를 위험이 있어 조심해야 한다.

그 아래 접수번호, 접수일자, 스미싱 의심 건수가 표시된다. 접수번호는 내가 접수한 건뿐만 아니라 당일 보호나라 이용자를 통합한 숫자다. 스미싱 의심 건수는 해당 URL에 대해 신고가 들어왔던 전적이 있는지를 나타낸다. 전적이 없으면 ‘최초신고건’이라고 나온다.

이때, 만약 내가 기입한 URL이 최초로 신고된 주소일 경우, 먼저 주의 메시지를 받는다. 최초 신고된 URL은 분석을 거치는데, 그 동안을 주의 상태로 보기 때문이다. 만약 이전에 접수된 전적이 있는 메시지라면, 스미싱 여부를 바로 받아볼 수 있다.

최초 신고 건은 10분 후 다시 누르면 결과가 나온다 / 출처=IT동아

최초 신고 건의 스미싱 여부를 확인하려면, 약 10분 후 다시 ‘스미싱 접수 결과 확인’ 버튼을 누른다. 쿠팡 배송 완료 URL을 넣었을 때, 처음에는 최초 신고 건으로 확인되며 주의가 떴다. 그리고 10분 후 다시 눌렀을 때, 정상으로 답변이 온 것을 확인했다. 정상 URL인 넷플릭스 임시 접속 코드 주소를 넣었을 때도 마찬가지다. 최초 신고 건으로 확인되며 주의가 떴고, 이후 정상 답변을 받았다.

스미싱으로 의심되는 URL을 넣으면 주의 문구가 뜬다 / 출처=IT동아

그러나 스미싱으로 의심되는 URL을 넣어봤을 때는 달랐다. 처음 떴던 주의 메시지가 끝까지 바뀌지 않았다. 이러한 경우, URL을 누르지 않는 것이 좋다.

한편, 사용하면서 아쉬운 점도 있었다. 메신저로 연결되는 링크의 경우, 악성 링크 판별이 어렵다는 점이다. 예컨대, 카카오톡 오픈채팅방 URL일 경우 직접적인 피해를 주지는 않아 주의 메시지가 뜨지 않는다. 그러나 범죄자가 금전을 갈취할 목적으로 운영하는 채널일 수 있으니 주의해야 한다. 또한 앱으로 연결되는 일부 광고 메시지는 악성 링크가 아니었지만 주의 메시지가 사라지지 않는 경우도 있었다.

한글로 된 URL은 스미싱 여부 확인이 어렵다 / 출처=IT동아

한글로 된 URL에 대해서는 접수가 되지 않았다. 누르면 링크가 뜨는 URL이었지만 기존의 URL과 달리 한글로 만들어져 스미싱 확인이 불가했다. 스미싱 URL을 누르게 하기 위해 본문을 길고 정교하게 작성하는 경우도 많은데, 글자 수에 제한이 있는 점도 아쉽다. 보다 폭넓은 스미싱 사례에 대응하기 위해 추후 반영되길 기대해본다.

이외에 보호나라는 카카오톡 채널에 인공지능(AI) 챗봇 서비스를 두고, 다양한 보안 관련 문의에 대한 답변을 제공한다. 챗봇은 스미싱 문자를 받았을 때 대처 방안, 스미싱을 당했을 때 조치 등에 대해 질문하면 간단한 조치 사항을 제시한다. 또한 카카오톡 채널에서 기업 및 개인 서비스를 제공해 보안 취약점을 점검 및 강화하고, 피해 시 신고할 수 있는 창구를 마련하고 있으니 평소에 참고하기 좋다.

IT동아 김예지 기자 (yj@itdonga.com)