(안랩 제공)
올해 2분기 문자 형태 피싱인 ‘스미싱’ 주요 수법으로 공모주 사칭이 쓰이고 있다. 전체 건 중 약 3분의 1인 31.8%를 차지했으며 직전 분기 대비 136% 증가했다.
안랩(053800)은 머신러닝 시스템에 기반해 다양한 피싱 문자를 탐지·분석한 ‘2024년 2분기 스미싱 위협 통계 및 분석 보고서’를 30일 발표했다.
스미싱 주요 열쇠말로는 공모주 사칭 외에도 단기 알바 위장(18.3%), 기관 사칭(12.6%), 카드사 사칭(11.6%), 부고 위장(9.2%), 정부 지원금 위장(8.6%), 가족 사칭(4.2%), 허위 결제 위장(3.4%) 등이 뒤를 이었다.
또 스미싱 공격자가 사칭한 주요 기관·산업군은 정부 기관(23.0%), 금융(16.8%), 쇼핑몰(5.1%), 택배(0.4%) 순으로 나타났다.
정부 기관 사칭의 경우, 쓰레기 분리배출 위반 과태료부터 해외택배 관세 부과, 교통범칙금, 건강검진 안내 등 사용자의 생활과 밀접한 기관을 사칭했다. 반면 금융 산업군의 경우 특정 조직을 사칭하지 않고 ‘시중은행’, ‘제1금융권’ 등 포괄적인 표현을 많이 썼다.
공격자는 피해자를 피싱 사이트, 악성 애플리케이션(앱) 설치 사이트 등으로 유인한다. 공격 채널은 모바일 메신저(39.6%), 악성 URL(27.3%), 전화(27.1%) 순이었다.
특히 카카오톡 등 모바일 메신저로 유도하는 스미싱 비중은 1분기 6.1%에서 2분기에는 39.6%로 급증했다.
피해를 예방하려면 문자·메신저 앱 내 URL을 실행해선 안 된다. 또 의심 가는 전화번호는 확인해야 하며 불필요한 국제 발신 문자는 차단해야 한다. 악성 앱 설치를 유도하는 오픈채팅도 주의해야 한다.
이밖에도 V3 모바일 시큐리티 등 스마트폰 보안 제품을 설치하는 것도 예방책이 된다.
안랩은 “공격자는 사용자가 관심 가질 만한 다양한 사회·경제적 키워드를 사용하고 있다”며 “더 많은 사용자를 현혹하고자 수법이 고도화되는 만큼 새로 유행하는 스미싱 사례를 숙지해야 한다”고 말했다.
(서울=뉴스1)